Malware ZionSiphon Terungkap, Target Sistem OT Air dan Desalinasi Israel

Peneliti keamanan siber baru-baru ini menemukan malware bernama ZionSiphon yang diduga dirancang khusus untuk menyerang sistem operational technology (OT) pada instalasi pengolahan air dan desalinasi di Israel. Malware ini pertama kali terdeteksi pada 29 Juni 2025, tepat setelah konflik singkat antara Iran dan Israel pada pertengahan Juni 2025.

Karakteristik dan Target Malware ZionSiphon

Pakar dari perusahaan keamanan Darktrace memberikan nama ZionSiphon untuk malware ini karena kemampuannya yang kompleks dalam menciptakan persistensi, mengubah file konfigurasi lokal, dan melakukan pemindaian layanan OT di subnet lokal. Malware ini menargetkan rentang alamat IPv4 yang spesifik di Israel, yaitu:

• 2.52.0.0 hingga 2.55.255.255
• 79.176.0.0 hingga 79.191.255.255
• 212.150.0.0 hingga 212.150.255.255

Selain menyisipkan pesan politik yang mendukung Iran, Palestina, dan Yaman, malware ini juga menyertakan string yang berkaitan langsung dengan infrastruktur air dan desalinasi Israel untuk memastikan bahwa malware hanya aktif pada sistem yang sesuai.

"Logika yang diinginkan sangat jelas: payload hanya aktif ketika kondisi geografis dan lingkungan terkait pengolahan air atau desalinasi terpenuhi," kata Darktrace.

Cara Kerja dan Fungsi ZionSiphon

Setelah diaktifkan, ZionSiphon melakukan identifikasi dan pemindaian perangkat di subnet lokal. Malware mencoba berkomunikasi menggunakan protokol Modbus, DNP3, dan S7comm yang umum digunakan dalam sistem industri. Ia juga mengubah parameter penting seperti dosis klorin dan tekanan pada konfigurasi lokal, yang dapat mengganggu operasi pengolahan air secara signifikan.

Analisis menunjukkan bahwa serangan yang berbasis Modbus merupakan yang paling berkembang, sementara dua protokol lain masih dalam tahap kode yang belum selesai, menandakan malware ini masih dalam pengembangan.

Salah satu fitur unik ZionSiphon adalah kemampuannya menyebar lewat media penyimpanan yang dapat dilepas (removable media). Namun, jika dijalankan pada host yang tidak memenuhi kriteria target, malware ini akan mengaktifkan mekanisme self-destruct dan menghapus dirinya sendiri.

"Meskipun terdapat fungsi sabotase, pemindaian, dan propagasi, versi saat ini tampaknya gagal memvalidasi target negaranya meskipun IP berada dalam rentang yang ditentukan," jelas Darktrace. "Ini menunjukkan malware sengaja dinonaktifkan, salah konfigurasi, atau memang belum selesai."

Konteks Ancaman dan Malware Terkait

Penemuan ZionSiphon terjadi bersamaan dengan terdeteksinya malware berbasis Node.js bernama RoadK1ll yang berfungsi sebagai implantasi untuk mempertahankan akses tersembunyi ke jaringan yang terinfeksi. RoadK1ll menggunakan sambungan WebSocket keluar menuju infrastruktur milik penyerang untuk mengalihkan trafik TCP sesuai permintaan.

Selain itu, Gen Digital juga melaporkan backdoor kompleks bernama AngrySpark yang beroperasi selama hampir satu tahun di Inggris. Malware ini menggunakan mesin virtual (VM) untuk menyembunyikan aktivitasnya dan menyusup ke sistem dengan sangat stealthy.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan ZionSiphon menandai tren meningkatnya serangan siber yang menargetkan infrastruktur kritis berbasis OT dengan motif geopolitik. Fokus malware ini pada sistem pengolahan air dan desalinasi Israel jelas merupakan upaya untuk melumpuhkan layanan vital yang sangat berpengaruh pada keamanan nasional dan kesejahteraan publik.

Selain itu, kemampuan propagasi melalui removable media dan penggunaan banyak protokol komunikasi OT menunjukkan adanya eksperimen canggih oleh aktor ancaman yang ingin memperluas teknik serangan siber industri. Walau masih dalam tahap pengembangan, potensi kerusakan yang bisa ditimbulkan jika versi final ZionSiphon berhasil digunakan sangatlah signifikan.

Publik dan pengelola infrastruktur kritis harus mewaspadai ancaman ini dan memperkuat keamanan OT mereka. Ke depannya, serangan semacam ini diprediksi akan semakin meningkat seiring dengan kompleksitas konflik geopolitik dan kemajuan teknologi malware. Untuk informasi lebih lengkap, kunjungi laporan asli di The Hacker News dan sumber terpercaya lainnya seperti Kompas Cybersecurity.

Dengan meningkatnya ancaman, penting bagi industri dan pemerintah untuk memperketat koordinasi keamanan siber serta memperbarui sistem pertahanan OT secara berkala agar dapat mengantisipasi serangan yang semakin canggih.