Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar diseñado específicamente para atacar los sistemas de desalinización y tratamiento de agua israelíes.

El malware tiene un nombre en código. SionSifón de Darktrace, destacando su capacidad para configurar la persistencia, alterar los archivos de configuración locales y buscar servicios relevantes para la tecnología operativa (OT) en la subred local. Según detalles de VirusTotal, la muestra fue detectado por primera vez en estado salvaje el 29 de junio de 2025, justo después de la Guerra de los Doce Días entre Irán e Israel que tuvo lugar entre el 13 y 24 de junio.

«El malware combina escalada de privilegios, persistencia, propagación USB y escaneo ICS con capacidades de sabotaje dirigidas a controles de cloro y presión, destacando la creciente experimentación con ataques de infraestructura crítica motivados políticamente contra tecnologías operativas industriales a nivel mundial», dijo la compañía. dicho.

ZionSiphon, actualmente en un estado inacabado, se caracteriza por su objetivo centrado en Israel, yendo tras un conjunto específico de rangos de direcciones IPv4 que se encuentran dentro de Israel.

• 2.52.0[.]0 – 2.55.255[.]255
• 79.176.0[.]0 – 79.191.255[.]255
• 212.150.0[.]0-212.150.255[.]255

Además de codificar mensajes políticos que afirman apoyar a Irán, Palestina y Yemen, el malware incorpora cadenas vinculadas a Israel en su lista de objetivos que corresponden a la infraestructura de agua y desalinización del país. También incluye controles para garantizar que en esos sistemas específicos.

«La lógica prevista es clara: la carga útil se activa sólo cuando se cumplen tanto una condición geográfica como una condición ambiental específica relacionada con la desalinización o el tratamiento del agua», dijo la empresa de ciberseguridad.

Una vez iniciado, ZionSiphon identifica y sondea dispositivos en la subred local, intenta la comunicación específica del protocolo utilizando los protocolos Modbus, DNP3 y S7comm, y modifica los archivos de configuración locales alterando los parámetros asociados con las dosis y la presión de cloro. Un análisis del artefacto encontró que la ruta de ataque orientada a Modus es la más desarrollada, y los dos restantes solo incluyen código parcialmente funcional, lo que indica que es probable que el malware aún esté en desarrollo.

Un aspecto notable del malware es su capacidad para propagar la infección a través de medios extraíbles. En los hosts que no cumplen con los criterios, inicia una secuencia de autodestrucción para eliminarse a sí mismo.

«Aunque el archivo contiene funciones de sabotaje, escaneo y propagación, la muestra actual parece incapaz de satisfacer su propia función de verificación del país de destino incluso cuando la IP reportada cae dentro de los rangos especificados», dijo Darktrace. «Este comportamiento sugiere que la versión se deshabilitó intencionalmente, se configuró incorrectamente o se dejó sin terminar».

«A pesar de estas limitaciones, la estructura general del código probablemente indica que un actor de amenazas está experimentando con manipulación OT multiprotocolo, persistencia dentro de redes operativas y técnicas de propagación de medios extraíbles que recuerdan a campañas anteriores dirigidas a ICS».

La divulgación coincide con el descubrimiento de un implante basado en Node.js llamado CarreteraK1ll que está diseñado para mantener un acceso confiable a una red comprometida mientras se integra con la actividad normal de la red.

«RoadK1ll es un implante de túnel inverso basado en Node.js que establece una conexión WebSocket saliente a la infraestructura controlada por el atacante y utiliza esa conexión para gestionar el tráfico TCP bajo demanda», dijo Blackpoint Cyber.

«A diferencia de un troyano de acceso remoto tradicional, no incluye un gran conjunto de comandos y no requiere ningún escucha entrante en el host de la víctima. Su única función es convertir una única máquina comprometida en un punto de retransmisión controlable, un amplificador de acceso, a través del cual un operador puede pivotar hacia sistemas internos, servicios y segmentos de red que de otro modo serían inalcanzables desde fuera del perímetro».

La semana pasada, Gen Digital también develó una puerta trasera ofuscada por una máquina virtual (VM) que se observó en una sola máquina en el Reino Unido y operó durante un año entre mayo de 2022 y junio de 2023, antes de desaparecer sin dejar rastro cuando su infraestructura expiró. El implante ha sido denominado enojadochispa. Actualmente no se sabe cuáles eran los objetivos finales de la actividad.

«AngrySpark funciona como un sistema de tres etapas», explicó la empresa. «Una DLL que se hace pasar por un componente de Windows se carga a través del Programador de tareas, descifra su configuración del registro e inyecta un código shell independiente de la posición en svchost.exe. Ese código shell implementa una máquina virtual».

«La máquina virtual procesa un blob de 25 KB de instrucciones de código de bytes, decodifica y ensambla la carga útil real: una baliza que perfila la máquina, llama a casa a través de HTTPS disfrazada de solicitudes de imágenes PNG y puede recibir código shell cifrado para su ejecución».

El resultado es un malware capaz de establecer una persistencia sigilosa, alterar su comportamiento cambiando el blob y establecer un canal de comando y control (C2) que puede pasar desapercibido.

«AngrySpark no sólo es modular, sino que también tiene cuidado con la apariencia que tienen los defensores», añadió Gen. «Varias opciones de diseño parecen dirigidas específicamente a frustrar la agrupación, eludir la instrumentación y limitar los residuos forenses que quedan. Los metadatos PE del binario se han alterado deliberadamente para confundir las huellas digitales de la cadena de herramientas».

Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.

La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.

«La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos», dijo la empresa israelí de ciberseguridad. dicho. «También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita».

Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.

La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.

Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.

Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.

«El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor», dijo Check Point. «El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente».

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.

Irán revive las operaciones clave de Pay2

La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.

La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.

Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.

«Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedió», Halcyon dicho.

Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.

«La muestra se basa en la configuración, requiere privilegios de nivel raíz para su ejecución y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial», Ilia Kulmin, investigadora de Morphisec dicho en un informe publicado el mes pasado.

«Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios».

En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.

«Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos», dijo la empresa de ciberseguridad. dicho. «El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado».