ZionSiphon: malware progettato per avvelenare l'acqua potabile
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 17/04/2026, 11:22
- Pubblicato: 18/04/2026, 11:17
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Un malware progettato per avvelenare l'acqua potabile di intere città. Non è la trama di un thriller, ma il risultato dell'analisi condotta da Darktrace su un campione di codice malevolo che si identifica come ZionSiphon: un software costruito su misura per colpire impianti di trattamento idrico e desalinizzazione in Israele. Il malware combina tecniche di intrusione IT convenzionali con logiche di sabotaggio specifiche per ambienti di tecnologia operativa (OT), e contiene moduli capaci di alterare i livelli di cloro e la pressione nei sistemi idrici. Il campione analizzato è ancora incompleto e immaturo, ma il segnale è tutt'altro che trascurabile: il malware mirato a processi industriali fisici non è più appannaggio esclusivo di programmi statali con budget miliardari.
Anatomia di ZionSiphon: bersagli codificati nel DNA
L'analisi rivela un malware con un livello di specificità geografica e settoriale insolito. Nel binario sono codificati intervalli di indirizzi IPv4 ristretti a blocchi israeliani - 2.52.0.0-2.55.255.255, 79.176.0.0-79.191.255.255 e 212.150.0.0-212.150.255.255 - e una serie di stringhe che corrispondono a nodi nevralgici dell'infrastruttura idrica nazionale israeliana.
Tra i bersagli esplicitamente nominati nel codice figurano Mekorot, la compagnia idrica nazionale di Israele, quattro dei cinque principali impianti di desalinizzazione del paese - Sorek, Hadera, Ashdod e Palmachim - e Shafdan, il più importante impianto di trattamento delle acque reflue del paese. Ciascuno di questi impianti produce decine di milioni di metri cubi di acqua potabile ogni anno. Il malware esegue controlli ambientali alla ricerca di queste stringhe prima di attivare il proprio carico utile: se non rileva un contesto compatibile con un impianto idrico israeliano, non procede.
Due stringhe codificate in Base64, incorporate nel binario ma non utilizzate operativamente dal malware, ne rivelano la matrice ideologica. La prima, etichettata Netanyahu nel codice, si decodifica in un messaggio di solidarietà con Iran, Palestina e Yemen «contro l'aggressione sionista», firmato con l'handle «0xICS». La seconda, etichettata Dimona - città israeliana nel deserto del Negev sede del centro di ricerca nucleare Shimon Peres - fa riferimento esplicito all'«avvelenamento della popolazione di Tel Aviv e Haifa».
Capacità tecniche: IT e OT nella stessa arma
ZionSiphon non si limita a tecniche di intrusione informatica tradizionali, ma le integra con moduli pensati per interagire direttamente con i sistemi di controllo industriale. Sul versante IT, il malware implementa meccanismi di escalation dei privilegi, persistenza sul sistema, propagazione via supporti rimovibili USB, manomissione di file di configurazione locali e scansione della sottorete locale alla ricerca di servizi rilevanti in ambito OT.
Sul versante industriale, il malware include moduli di scansione per tre protocolli chiave del mondo ICS: Modbus, DNP3 e S7comm, quest'ultimo utilizzato per comunicare con i PLC. La componente più preoccupante è una logica di manipolazione Modbus progettata per alterare i livelli di cloro e la pressione di sistema - due parametri la cui manomissione può tradursi in danni alle apparecchiature o, peggio, in rischi diretti per la salute pubblica.
Darktrace descrive il campione come una «build di sviluppo» con difetti di implementazione in più aree: la logica Modbus è in fase embrionale e l'implementazione appare incompleta. Due scenari, non mutualmente esclusivi: un progetto ancora in cantiere, oppure un attore con competenze tecniche limitate. In entrambi i casi, anche un campione acerbo rappresenta una proof-of-concept funzionante per le tecniche di persistenza e propagazione che incorpora.
Un cambio di paradigma nella minaccia OT
Nathaniel Jones, VP Security & AI Strategy e Field CISO di Darktrace, inquadra ZionSiphon in una tendenza più ampia: «ZionSiphon mostra un cambiamento nel panorama delle minacce OT: il malware capace di colpire processi industriali non è più esclusiva dei programmi statali ad alto budget che abbiamo visto in passato, come Stuxnet o Industroyer. [...] Attori motivati ideologicamente e con risorse relativamente modeste stanno iniziando a sperimentare l'interazione diretta con i sistemi industriali».
Per anni, il malware OT è stato sinonimo di operazioni sofisticatissime. Stuxnet, scoperto nel 2010, richiedeva competenze e risorse da agenzia di intelligence. Industroyer, usato contro la rete elettrica ucraina, mostrava un livello di ingegneria paragonabile. ZionSiphon non è nemmeno lontanamente alla stessa altezza tecnica - e proprio questo lo rende significativo. Il passaggio da attacchi opportunistici, come lo sfruttamento di password predefinite su PLC esposti a internet, allo sviluppo di malware su misura segna un'evoluzione qualitativa nella minaccia, anche quando il risultato è ancora acerbo.
Il contesto più ampio: CyberAv3ngers e le infrastrutture idriche statunitensi
ZionSiphon non opera nel vuoto. Un avviso congiunto pubblicato il 7 aprile 2026 da FBI, CISA, NSA, EPA, Dipartimento dell'Energia e U.S. Cyber Command - riferimento AA26-097A - conferma che il gruppo di matrice iraniana CyberAv3ngers sta attivamente colpendo impianti idrici, sistemi energetici e controllori industriali negli Stati Uniti, con interruzioni operative e perdite economiche già documentate in più organizzazioni.
» Leggi anche: Cyber-guerra in diretta: cracker iraniani colpiscono impianti idrici ed energetici
ZionSiphon e CyberAv3ngers rimangono campagne distinte: nessuna fonte stabilisce un collegamento diretto tra i due. Ma la convergenza tematica - malware e attacchi mirati a infrastrutture idriche, con matrice ideologica riconducibile all'asse iraniano - delinea un quadro coerente in cui l'acqua potabile è diventata un obiettivo deliberato di operazioni cyber offensive.
Perché conta
Il settore idrico presenta caratteristiche che lo rendono particolarmente esposto. Molti impianti, soprattutto quelli di dimensioni medio-piccole, operano con budget di sicurezza informatica risicati, sistemi di controllo datati e una connettività di rete che non è stata progettata tenendo conto delle minacce moderne.
Se un attore a basso budget e competenze limitate può assemblare un malware con logica di manipolazione Modbus, moduli di scansione per protocolli ICS e targeting geografico preciso, la barriera d'ingresso per attacchi OT si è abbassata in modo misurabile. ZionSiphon, nella sua incompletezza, non è una minaccia consumata - è l'annuncio di quelle che verranno.
Fonti: darktrace.com, secureworld.io
