### ZionSiphon Ataca Infraestrutura Hídrica Israelense Pesquisadores de cibersegurança identificaram o **ZionSiphon**, um novo malware projetado especificamente para atacar sistemas de tratamento e dessalinização de água em Israel. Pesquisadores da **Darktrace** deram o codinome **ZionSiphon** ao malware, destacando suas capacidades, incluindo persistência, adulteração de arquivos de configuração locais e varredura de serviços relevantes para tecnologia operacional (OT) na sub-rede local. De acordo com o **VirusTotal**, a primeira detecção da amostra ocorreu em 29 de junho de 2025, logo após a relatada "Guerra dos Doze Dias" entre o Irã e Israel. A **Darktrace** declarou que o malware combina escalonamento de privilégios, persistência, propagação via USB e varredura de ICS com capacidades de sabotagem visando controles de cloro e pressão. Isso destaca uma tendência crescente de ataques politicamente motivados contra infraestruturas críticas e tecnologias operacionais industriais globalmente. Atualmente inacabado, o **ZionSiphon** tem como alvo específico Israel, focando nestes intervalos de endereços IPv4: * 2.52.0[.]0 - 2.55.255[.]255 * 79.176.0[.]0 - 79.191.255[.]255 * 212.150.0[.]0 - 212.150.255[.]255 Além de codificar mensagens políticas apoiando o Irã, Palestina e Iêmen, o malware inclui strings ligadas a Israel em sua lista de alvos, especificamente relacionadas à infraestrutura de água e dessalinização da nação. Ele também verifica se está sendo executado nesses sistemas específicos. Uma vez iniciado, o **ZionSiphon** identifica e sonda dispositivos na sub-rede local, tentando comunicação específica de protocolo usando os protocolos Modbus, DNP3 e S7comm. Ele também modifica arquivos de configuração locais, adulterando parâmetros associados a doses de cloro e pressão. A análise indica que o caminho de ataque orientado a Modbus é o mais desenvolvido, enquanto os outros dois incluem apenas código parcialmente funcional, sugerindo que o malware ainda está em desenvolvimento. Uma característica chave do malware é sua capacidade de propagar a infecção através de mídias removíveis. Em hosts que não atendem aos critérios de segmentação, ele inicia uma sequência de autodestruição para se apagar. A **Darktrace** observa que, embora o arquivo contenha funções de sabotagem, varredura e propagação, a amostra atual parece incapaz de satisfazer sua própria função de verificação de país alvo, mesmo quando o IP relatado se enquadra nos intervalos especificados. Eles sugerem que isso pode ser devido a desativação intencional, configuração incorreta ou um estado inacabado. Apesar dessas limitações, a estrutura do código sugere um ator de ameaça experimentando manipulação multi-protocolo de OT, persistência em redes operacionais e técnicas de propagação por mídia removível, semelhantes a campanhas anteriores que visavam ICS. ### RoadK1ll: Um Implant de Pivoteamento Baseado em WebSocket Paralelamente à descoberta do **ZionSiphon**, a **Blackpoint Cyber** divulgou um implant baseado em Node.js chamado **RoadK1ll**, projetado para manter acesso confiável a redes comprometidas, enquanto se mistura à atividade de rede normal. O **RoadK1ll** é um implant de tunelamento reverso que estabelece uma conexão WebSocket de saída para infraestrutura controlada pelo atacante, usando essa conexão para intermediar tráfego TCP sob demanda. Diferente de trojans de acesso remoto tradicionais, ele não carrega um grande conjunto de comandos e não requer um listener de entrada no host da vítima. Sua única função é converter uma única máquina comprometida em um ponto de retransmissão controlável, um amplificador de acesso, através do qual um operador pode pivotar para sistemas internos, serviços e segmentos de rede que, de outra forma, seriam inacessíveis de fora do perímetro. ### AngrySpark: Backdoor Ofuscado por VM A **Gen Digital** também revelou um backdoor ofuscado por máquina virtual (VM), apelidado de **AngrySpark**, observado em uma única máquina no Reino Unido. Este implant operou por um ano, entre maio de 2022 e junho de 2023, antes de desaparecer quando sua infraestrutura expirou. Os objetivos finais da atividade permanecem desconhecidos. A **Gen Digital** explicou que o **AngrySpark** opera como um sistema de três estágios. Uma DLL disfarçada de componente do Windows é carregada via Agendador de Tarefas, descriptografa sua configuração do registro e injeta shellcode independente de posição no svchost.exe. Esse shellcode implementa uma máquina virtual. A VM processa um blob de 25KB de instruções de bytecode, decodificando e montando o payload real – um beacon que perfila a máquina, se comunica com o servidor de comando e controle (C2) sobre HTTPS disfarçado de requisições de imagem PNG, e pode receber shellcode criptografado para execução. O resultado é um malware capaz de estabelecer persistência furtiva, alterar seu comportamento trocando o blob e configurar um canal de comando e controle (C2) que pode evadir detecção. A **Gen Digital** acrescentou que o **AngrySpark** não é apenas modular, mas também cuidadosamente projetado para evadir detecção. Várias escolhas de design parecem especificamente voltadas para frustrar o clustering, contornar a instrumentação e limitar os resíduos forenses deixados para trás. Os metadados PE do binário foram deliberadamente alterados para confundir a identificação da toolchain.