### ZionSiphon cible l'infrastructure hydraulique israélienne Des chercheurs en cybersécurité ont identifié **ZionSiphon**, un nouveau malware spécifiquement conçu pour cibler les systèmes israéliens de traitement de l'eau et de dessalement. Les chercheurs de **Darktrace** ont nommé ce malware **ZionSiphon**, soulignant ses capacités incluant la persistance, la falsification des fichiers de configuration locaux et le scan des services pertinents pour les technologies opérationnelles (OT) sur le sous-réseau local. Selon **VirusTotal**, la première détection de l'échantillon a eu lieu le 29 juin 2025, peu après la "Guerre de Douze Jours" rapportée entre l'Iran et Israël. **Darktrace** a déclaré que le malware combine l'escalade de privilèges, la persistance, la propagation via USB et le scan ICS avec des capacités de sabotage ciblant les contrôles de chlore et de pression. Cela met en évidence une tendance croissante d'attaques politiquement motivées contre les infrastructures critiques et les technologies opérationnelles industrielles à l'échelle mondiale. Actuellement inachevé, **ZionSiphon** cible spécifiquement Israël, se concentrant sur les plages d'adresses IPv4 suivantes : * 2.52.0[.]0 - 2.55.255[.]255 * 79.176.0[.]0 - 79.191.255[.]255 * 212.150.0[.]0 - 212.150.255[.]255 En plus d'encoder des messages politiques soutenant l'Iran, la Palestine et le Yémen, le malware inclut des chaînes de caractères liées à Israël dans sa liste de cibles, spécifiquement liées à l'infrastructure hydraulique et de dessalement de la nation. Il vérifie également s'il s'exécute sur ces systèmes spécifiques. Une fois lancé, **ZionSiphon** identifie et sonde les appareils sur le sous-réseau local, tentant une communication spécifique au protocole en utilisant les protocoles Modbus, DNP3 et S7comm. Il modifie également les fichiers de configuration locaux, falsifiant les paramètres associés aux doses de chlore et à la pression. L'analyse indique que le chemin d'attaque orienté Modbus est le plus développé, tandis que les deux autres n'incluent que du code partiellement fonctionnel, suggérant que le malware est encore en cours de développement. Une caractéristique clé du malware est sa capacité à propager l'infection via des supports amovibles. Sur les hôtes qui ne répondent pas aux critères de ciblage, il initie une séquence d'autodestruction pour se supprimer. **Darktrace** note que bien que le fichier contienne des fonctions de sabotage, de scan et de propagation, l'échantillon actuel semble incapable de satisfaire sa propre fonction de vérification du pays cible, même lorsque l'IP rapportée se situe dans les plages spécifiées. Ils suggèrent que cela pourrait être dû à une désactivation intentionnelle, une configuration incorrecte ou un état inachevé. Malgré ces limitations, la structure du code suggère qu'un acteur de la menace expérimente la manipulation multi-protocoles OT, la persistance au sein des réseaux opérationnels et les techniques de propagation par supports amovibles similaires aux campagnes antérieures ciblant les ICS. ### RoadK1ll : un implant de pivotement basé sur WebSocket Parallèlement à la découverte de **ZionSiphon**, **Blackpoint Cyber** a divulgué un implant basé sur Node.js appelé **RoadK1ll**, conçu pour maintenir un accès fiable aux réseaux compromis tout en se fondant dans l'activité réseau normale. **RoadK1ll** est un implant de tunneling inversé qui établit une connexion WebSocket sortante vers une infrastructure contrôlée par l'attaquant, utilisant cette connexion pour acheminer le trafic TCP à la demande. Contrairement aux chevaux de Troie d'accès à distance traditionnels, il ne contient pas de grand ensemble de commandes et ne nécessite pas d'écoute entrante sur l'hôte victime. Sa seule fonction est de convertir une seule machine compromise en un point de relais contrôlable, un amplificateur d'accès, à travers lequel un opérateur peut pivoter vers des systèmes internes, des services et des segments réseau qui seraient autrement inaccessibles depuis l'extérieur du périmètre. ### AngrySpark : une backdoor obfusquée par VM **Gen Digital** a également révélé une backdoor obfusquée par machine virtuelle (VM), baptisée **AngrySpark**, observée sur une seule machine au Royaume-Uni. Cet implant a fonctionné pendant un an entre mai 2022 et juin 2023 avant de disparaître lorsque son infrastructure a expiré. Les objectifs finaux de l'activité restent inconnus. **Gen Digital** a expliqué qu'**AngrySpark** fonctionne comme un système à trois étapes. Une DLL se faisant passer pour un composant Windows se charge via le Planificateur de tâches, déchiffre sa configuration à partir du registre et injecte du shellcode indépendant de la position dans svchost.exe. Ce shellcode implémente une machine virtuelle. La VM traite un blob de 25 Ko d'instructions bytecode, décodant et assemblant le véritable payload – une balise qui profile la machine, contacte le serveur de commande et contrôle (C2) via HTTPS déguisé en requêtes d'image PNG, et peut recevoir du shellcode chiffré pour exécution. Le résultat est un malware capable d'établir une persistance furtive, de modifier son comportement en changeant le blob, et de mettre en place un canal de commande et contrôle (C2) capable d'échapper à la détection. **Gen Digital** a ajouté qu'**AngrySpark** est non seulement modulaire, mais aussi soigneusement conçu pour échapper à la détection. Plusieurs choix de conception semblent spécifiquement viser à frustrer le clustering, à contourner l'instrumentation et à limiter les résidus forensiques laissés derrière. Les métadonnées PE du binaire ont été délibérément modifiées pour confondre le fingerprinting de la chaîne d'outils.