Charakteristisch für ZionSiphon ist die enge Ausrichtung auf Israel. Neben politischen Botschaften, die Unterstützung für Iran, Palästina und Jemen bekunden, enthält die Schadsoftware in ihrer Zielliste Zeichenketten mit Bezug zur israelischen Wasser- und Entsalzungsinfrastruktur. Hinzu kommen Prüfroutinen, die die jeweiligen Systeme verifizieren sollen.

Nach Einschätzung von Darktrace ist die beabsichtigte Logik eindeutig: Die Schadlast wird nur dann aktiv, wenn sowohl eine geografische Bedingung als auch eine umgebungsspezifische Bedingung im Zusammenhang mit Entsalzung oder Wasseraufbereitung erfüllt ist.

Einmal gestartet, erkennt und untersucht ZionSiphon Geräte im lokalen Subnetz und versucht eine protokollspezifische Kommunikation über Modbus, DNP3 und S7comm. Anschließend verändert die Malware lokale Konfigurationsdateien, indem sie Parameter für Chlordosierung und Druck manipuliert. Die Analyse ergab, dass der auf Modbus ausgerichtete Angriffspfad am weitesten entwickelt ist, während die beiden anderen nur teilweise funktionsfähigen Code enthalten – ein Hinweis darauf, dass sich die Schadsoftware noch in Entwicklung befindet.

Bemerkenswert ist zudem die Fähigkeit, sich über Wechseldatenträger zu verbreiten. Auf Systemen, die die Kriterien nicht erfüllen, leitet die Malware eine Selbstzerstörung ein und löscht sich selbst.

Trotz der enthaltenen Sabotage-, Scan- und Verbreitungsfunktionen sei das vorliegende Sample nach Angaben von Darktrace nicht in der Lage, die eigene Länderprüfung zu bestehen – selbst dann nicht, wenn die gemeldete IP-Adresse in den festgelegten Bereichen liegt. Dies deute darauf hin, dass die Version entweder absichtlich deaktiviert, fehlerhaft konfiguriert oder schlicht unfertig sei. Die Gesamtstruktur des Codes spreche dennoch für einen Akteur, der mit Multi-Protokoll-Manipulation von OT, Persistenz in operativen Netzwerken und Verbreitung über Wechseldatenträger experimentiert.

Parallel dazu meldet Blackpoint Cyber die Entdeckung eines Node.js-basierten Implantats namens RoadK1ll, das zuverlässigen Zugang zu einem kompromittierten Netzwerk aufrechterhalten und sich dabei im normalen Netzverkehr verstecken soll. Laut Blackpoint Cyber baut RoadK1ll eine ausgehende WebSocket-Verbindung zu einer von den Angreifern kontrollierten Infrastruktur auf und vermittelt darüber bei Bedarf TCP-Datenverkehr. Anders als ein klassischer Fernzugriffstrojaner bringe es keinen großen Befehlssatz mit und benötige keinen eingehenden Listener auf dem Opfersystem; seine einzige Aufgabe sei es, einen kompromittierten Rechner in einen steuerbaren Relaispunkt zu verwandeln, über den ein Angreifer zu sonst nicht erreichbaren internen Systemen vordringen kann.

Außerdem stellte Gen Digital kürzlich eine durch eine virtuelle Maschine (VM) verschleierte Backdoor mit dem Namen AngrySpark vor. Sie wurde auf einer einzigen Maschine im Vereinigten Königreich beobachtet und war zwischen Mai 2022 und Juni 2023 etwa ein Jahr aktiv, bevor sie nach Ablauf ihrer Infrastruktur spurlos verschwand. Welche Ziele dahinterstanden, ist nicht bekannt.

AngrySpark arbeitet laut Gen Digital in drei Stufen: Eine DLL, die sich als Windows-Komponente ausgibt, wird über den Task Scheduler geladen, entschlüsselt ihre Konfiguration aus der Registry und injiziert positionsunabhängigen Shellcode in svchost.exe. Dieser Shellcode bildet eine virtuelle Maschine ab, die einen 25 KB großen Bytecode-Block verarbeitet und daraus die eigentliche Schadlast zusammensetzt – einen Beacon, der das System profiliert, sich über HTTPS getarnt als PNG-Bildabrufe meldet und verschlüsselten Shellcode zur Ausführung empfangen kann. Mehrere Entwurfsentscheidungen zielen nach Gen Digital gezielt darauf, die Zuordnung zu erschweren, Analysewerkzeuge zu umgehen und forensische Spuren zu minimieren; so wurden die PE-Metadaten der Binärdatei bewusst verändert.