{"id":599,"date":"2026-04-20T09:30:50","date_gmt":"2026-04-20T09:30:50","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/investigadores-detectan-malware-zionsiphon-dirigido-a-sistemas-ot-de-desalinizacion-y-agua-israelies-cyberdefensa-mx\/"},"modified":"2026-04-20T09:30:50","modified_gmt":"2026-04-20T09:30:50","slug":"investigadores-detectan-malware-zionsiphon-dirigido-a-sistemas-ot-de-desalinizacion-y-agua-israelies-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/investigadores-detectan-malware-zionsiphon-dirigido-a-sistemas-ot-de-desalinizacion-y-agua-israelies-cyberdefensa-mx\/","title":{"rendered":"Investigadores detectan malware ZionSiphon dirigido a sistemas OT de desalinizaci\u00f3n y agua israel\u00edes \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar dise\u00f1ado espec\u00edficamente para atacar los sistemas de desalinizaci\u00f3n y tratamiento de agua israel\u00edes.<\/p>\n<p>El malware tiene un nombre en c\u00f3digo. <strong>SionSif\u00f3n<\/strong> de Darktrace, destacando su capacidad para configurar la persistencia, alterar los archivos de configuraci\u00f3n locales y buscar servicios relevantes para la tecnolog\u00eda operativa (OT) en la subred local. Seg\u00fan detalles de VirusTotal, la muestra fue <a href=\"https:\/\/www.virustotal.com\/gui\/file\/07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5f\/details\">detectado por primera vez<\/a> en estado salvaje el 29 de junio de 2025, justo despu\u00e9s de la Guerra de los Doce D\u00edas entre Ir\u00e1n e Israel que tuvo lugar entre el 13 y 24 de junio.<\/p>\n<p>\u00abEl malware combina escalada de privilegios, persistencia, propagaci\u00f3n USB y escaneo ICS con capacidades de sabotaje dirigidas a controles de cloro y presi\u00f3n, destacando la creciente experimentaci\u00f3n con ataques de infraestructura cr\u00edtica motivados pol\u00edticamente contra tecnolog\u00edas operativas industriales a nivel mundial\u00bb, dijo la compa\u00f1\u00eda. <a href=\"https:\/\/www.darktrace.com\/blog\/inside-zionsiphon-darktraces-analysis-of-ot-malware-targeting-israeli-water-systems\">dicho<\/a>.<\/p>\n<p>ZionSiphon, actualmente en un estado inacabado, se caracteriza por su objetivo centrado en Israel, yendo tras un conjunto espec\u00edfico de rangos de direcciones IPv4 que se encuentran dentro de Israel.<\/p>\n<ul>\n<li>2.52.0[.]0 \u2013 2.55.255[.]255<\/li>\n<li>79.176.0[.]0 \u2013 79.191.255[.]255<\/li>\n<li>212.150.0[.]0-212.150.255[.]255<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Adem\u00e1s de codificar mensajes pol\u00edticos que afirman apoyar a Ir\u00e1n, Palestina y Yemen, el malware incorpora cadenas vinculadas a Israel en su lista de objetivos que corresponden a la infraestructura de agua y desalinizaci\u00f3n del pa\u00eds. Tambi\u00e9n incluye controles para garantizar que en esos sistemas espec\u00edficos.<\/p>\n<p>\u00abLa l\u00f3gica prevista es clara: la carga \u00fatil se activa s\u00f3lo cuando se cumplen tanto una condici\u00f3n geogr\u00e1fica como una condici\u00f3n ambiental espec\u00edfica relacionada con la desalinizaci\u00f3n o el tratamiento del agua\u00bb, dijo la empresa de ciberseguridad.<\/p>\n<p>Una vez iniciado, ZionSiphon identifica y sondea dispositivos en la subred local, intenta la comunicaci\u00f3n espec\u00edfica del protocolo utilizando los protocolos Modbus, DNP3 y S7comm, y modifica los archivos de configuraci\u00f3n locales alterando los par\u00e1metros asociados con las dosis y la presi\u00f3n de cloro. Un an\u00e1lisis del artefacto encontr\u00f3 que la ruta de ataque orientada a Modus es la m\u00e1s desarrollada, y los dos restantes solo incluyen c\u00f3digo parcialmente funcional, lo que indica que es probable que el malware a\u00fan est\u00e9 en desarrollo.<\/p>\n<p>Un aspecto notable del malware es su capacidad para propagar la infecci\u00f3n a trav\u00e9s de medios extra\u00edbles. En los hosts que no cumplen con los criterios, inicia una secuencia de autodestrucci\u00f3n para eliminarse a s\u00ed mismo.<\/p>\n<p>\u00abAunque el archivo contiene funciones de sabotaje, escaneo y propagaci\u00f3n, la muestra actual parece incapaz de satisfacer su propia funci\u00f3n de verificaci\u00f3n del pa\u00eds de destino incluso cuando la IP reportada cae dentro de los rangos especificados\u00bb, dijo Darktrace. \u00abEste comportamiento sugiere que la versi\u00f3n se deshabilit\u00f3 intencionalmente, se configur\u00f3 incorrectamente o se dej\u00f3 sin terminar\u00bb.<\/p>\n<p>\u00abA pesar de estas limitaciones, la estructura general del c\u00f3digo probablemente indica que un actor de amenazas est\u00e1 experimentando con manipulaci\u00f3n OT multiprotocolo, persistencia dentro de redes operativas y t\u00e9cnicas de propagaci\u00f3n de medios extra\u00edbles que recuerdan a campa\u00f1as anteriores dirigidas a ICS\u00bb.<\/p>\n<p>La divulgaci\u00f3n coincide con el descubrimiento de un implante basado en Node.js llamado <a href=\"https:\/\/blackpointcyber.com\/blog\/roadk1ll-a-websocket-based-pivoting-implant\/\">CarreteraK1ll<\/a> que est\u00e1 dise\u00f1ado para mantener un acceso confiable a una red comprometida mientras se integra con la actividad normal de la red.<\/p>\n<p>\u00abRoadK1ll es un implante de t\u00fanel inverso basado en Node.js que establece una conexi\u00f3n WebSocket saliente a la infraestructura controlada por el atacante y utiliza esa conexi\u00f3n para gestionar el tr\u00e1fico TCP bajo demanda\u00bb, dijo Blackpoint Cyber.<\/p>\n<p>\u00abA diferencia de un troyano de acceso remoto tradicional, no incluye un gran conjunto de comandos y no requiere ning\u00fan escucha entrante en el host de la v\u00edctima. Su \u00fanica funci\u00f3n es convertir una \u00fanica m\u00e1quina comprometida en un punto de retransmisi\u00f3n controlable, un amplificador de acceso, a trav\u00e9s del cual un operador puede pivotar hacia sistemas internos, servicios y segmentos de red que de otro modo ser\u00edan inalcanzables desde fuera del per\u00edmetro\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La semana pasada, Gen Digital tambi\u00e9n devel\u00f3 una puerta trasera ofuscada por una m\u00e1quina virtual (VM) que se observ\u00f3 en una sola m\u00e1quina en el Reino Unido y oper\u00f3 durante un a\u00f1o entre mayo de 2022 y junio de 2023, antes de desaparecer sin dejar rastro cuando su infraestructura expir\u00f3. El implante ha sido denominado <a href=\"https:\/\/www.gendigital.com\/blog\/insights\/research\/chasing-an-angry-spark\">enojadochispa<\/a>. Actualmente no se sabe cu\u00e1les eran los objetivos finales de la actividad.<\/p>\n<p>\u00abAngrySpark funciona como un sistema de tres etapas\u00bb, explic\u00f3 la empresa. \u00abUna DLL que se hace pasar por un componente de Windows se carga a trav\u00e9s del Programador de tareas, descifra su configuraci\u00f3n del registro e inyecta un c\u00f3digo shell independiente de la posici\u00f3n en svchost.exe. Ese c\u00f3digo shell implementa una m\u00e1quina virtual\u00bb.<\/p>\n<p>\u00abLa m\u00e1quina virtual procesa un blob de 25 KB de instrucciones de c\u00f3digo de bytes, decodifica y ensambla la carga \u00fatil real: una baliza que perfila la m\u00e1quina, llama a casa a trav\u00e9s de HTTPS disfrazada de solicitudes de im\u00e1genes PNG y puede recibir c\u00f3digo shell cifrado para su ejecuci\u00f3n\u00bb.<\/p>\n<p>El resultado es un malware capaz de establecer una persistencia sigilosa, alterar su comportamiento cambiando el blob y establecer un canal de comando y control (C2) que puede pasar desapercibido.<\/p>\n<p>\u00abAngrySpark no s\u00f3lo es modular, sino que tambi\u00e9n tiene cuidado con la apariencia que tienen los defensores\u00bb, a\u00f1adi\u00f3 Gen. \u00abVarias opciones de dise\u00f1o parecen dirigidas espec\u00edficamente a frustrar la agrupaci\u00f3n, eludir la instrumentaci\u00f3n y limitar los residuos forenses que quedan. Los metadatos PE del binario se han alterado deliberadamente para confundir las huellas digitales de la cadena de herramientas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar dise\u00f1ado espec\u00edficamente para atacar los sistemas de desalinizaci\u00f3n y tratamiento de agua israel\u00edes. El malware tiene un nombre en c\u00f3digo. SionSif\u00f3n de Darktrace, destacando su capacidad para configurar la persistencia, alterar los archivos de configuraci\u00f3n locales y buscar servicios relevantes para [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1642,24,1925,1923,1666,80,1597,60,1154,1924],"class_list":["post-599","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agua","tag-cyberdefensa-mx","tag-desalinizacion","tag-detectan","tag-dirigido","tag-investigadores","tag-israelies","tag-malware","tag-sistemas","tag-zionsiphon"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=599"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/599\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}