Darktrace araştırmacıları,
İsrail'in su arıtma ve tuzdan arındırma tesislerini hedef alan yeni bir OT zararlı yazılımı olan
ZionSiphon'u analiz etti. VirusTotal'daki ilk iz: 29 Haziran 2025 — İran-İsrail çatışmasının (13–24 Haziran) hemen akabinde.
Hedef listesi (hardcode): Mekorot (İsrail ulusal su şirketi), Sorek, Hadera, Ashdod, Palmachim (deniz suyu arıtma tesisleri), Shafdan (atıksu arıtma). Tüm İsrail IP aralıkları (2.52.0.0/24, 79.176.0.0/24, 212.150.0.0/24) kodlanmış.
Teknik yetenekler:
- IncreaseChlorineLevel(): Klorin doz ve akışını maksimuma çıkarıyor
- Su basıncı manipülasyonu — fiziksel hasar potansiyeli
- Modbus (502), DNP3 (20000), S7comm (102) protokol taraması
- DesalConfig.ini, ChlorineControl.dat gibi ICS konfig dosyalarını arıyor
- USB ile yayılma — CreateUSBShortcut() ile sahte kısayol
- Base64 ile şifrelenmiş propaganda mesajları: "Tel Aviv ve Hayfa nüfusunu zehirle"
Mevcut sınırlılık: EncryptDecrypt doğrulama mantığındaki hata nedeniyle sabotaj rutini tetiklenemiyor. Darktrace, tamamlanmış bir versiyonun ciddi can güvenliği tehdidi oluşturabileceği uyarısını yapıyor.