🔍 Contexte

Darktrace a publié le 16 avril 2026 une analyse technique détaillée d’un échantillon de malware se désignant lui-même comme ZionSiphon. L’analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l’échantillon est disponible publiquement.

🎯 Ciblage et motivations

Le malware présente un ciblage géographique explicitement orienté vers Israël, avec des plages IPv4 hardcodées correspondant à des blocs d’adresses israéliens :

  • 2.52.0.0 - 2.55.255.255
  • 79.176.0.0 - 79.191.255.255
  • 212.150.0.0 - 212.150.255.255

Deux chaînes encodées en Base64 révèlent des motivations idéologiques pro-Iran/Palestine/Yémen et une intention déclarée d’empoisonner les populations de Tel Aviv et Haïfa. L’auteur se désigne sous le pseudonyme “0xICS”.

Le malware cible explicitement des entités de l’infrastructure hydrique israélienne : Mekorot (compagnie nationale des eaux), les usines de dessalement Sorek, Hadera, Ashdod, Palmachim, et la station d’épuration Shafdan.

⚙️ Capacités techniques

Élévation de privilèges :

  • Vérification des droits administrateur via IsElevated()
  • Relance via powershell.exe Start-Process -Verb RunAs si non élevé

Persistance :

  • Copie du binaire sous le nom svchost.exe dans %LocalApplicationData% avec attributs cachés
  • Clé de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Run nommée SystemHealthCheck

Détermination de cible :

  • IsTargetCountry() : vérification de la plage IP
  • IsDamDesalinationPlant() : recherche de processus OT (ex: DesalPLC, ROController, ChlorineCtrl) et de répertoires/fichiers spécifiques (ex: C:\Program Files\Desalination, C:\ChlorineControl.dat)

Sabotage de fichiers de configuration :

  • IncreaseChlorineLevel() : ajout de paramètres malveillants (Chlorine_Dose=10, Chlorine_Pump=ON, Chlorine_Flow=MAX, RO_Pressure=80) dans les fichiers de configuration OT trouvés

Découverte OT et protocoles :

  • Scan du sous-réseau /24 sur les ports 502 (Modbus), 20000 (DNP3), 102 (S7comm)
  • Validation légère des réponses par protocole
  • Logique Modbus la plus développée : lecture de registres (fonction 03) puis écriture (fonction 06)
  • Branches DNP3 et S7comm incomplètes (fragments de trames non valides)

Propagation USB :

  • Copie du payload sur les lecteurs amovibles sous le nom svchost.exe (attributs Hidden+System)
  • Création de raccourcis .lnk piégés avec icône générique Windows

Auto-destruction :

  • Si la cible n’est pas validée : suppression de la clé de registre, log dans %TEMP%\target_verify.log, script batch %TEMP%\delete.bat pour auto-suppression

🐛 Dysfonctionnements identifiés

La logique de validation du pays est défectueuse : la comparaison entre EncryptDecrypt("Israel", 5) (XOR avec 5) et la chaîne hardcodée Nqvbdk échoue systématiquement car aucune clé XOR ne peut transformer “Israel” en “Nqvbdk”. Le malware se détruit donc lui-même sur tout hôte testé. Les branches DNP3 et S7comm sont également incomplètes.

📋 Type d’article

Analyse technique approfondie d’un échantillon de malware OT, publiée par Darktrace, visant à documenter les capacités, le ciblage et les limites d’implémentation de ZionSiphon.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • 0xICS (hacktivist) —

TTP

  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
  • T1091 — Replication Through Removable Media (Lateral Movement)
  • T1046 — Network Service Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1485 — Data Destruction (Impact)

IOC

  • SHA256 : 07c3bbe60d47240df7152f72beb98ea373d9600946860bad12f7bc617a5d6f5fVT · MalwareBazaar
  • Fichiers : ZionSiphon.exe
  • Chemins : %TEMP%\target_verify.log
  • Chemins : %TEMP%\delete.bat
  • Chemins : C:\DesalConfig.ini
  • Chemins : C:\ROConfig.ini
  • Chemins : C:\DesalSettings.conf
  • Chemins : C:\WaterTreatment.ini
  • Chemins : C:\ChlorineControl.dat
  • Chemins : C:\RO_PumpSettings.ini
  • Chemins : C:\SalinityControl.ini
  • Chemins : C:\Program Files\Desalination\system.cfg

Malware / Outils

  • ZionSiphon (other)

🟢 Indice de vérification factuelle : 88/100 (haute)

  • ✅ darktrace.com — source reconnue (Rösti community) (20pts)
  • ✅ 19619 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs dont des hashes (15pts)
  • ✅ 1/1 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : 0xICS (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 07c3bbe60d47240d… (sha256) → VT (44/77 détections)

🔗 Source originale : https://www.darktrace.com/blog/inside-zionsiphon-darktraces-analysis-of-ot-malware-targeting-israeli-water-systems