ZionSiphon, Malware OT Baru yang Sasar Infrastruktur Air

Ancaman siber terhadap infrastruktur kritis kembali menjadi sorotan setelah peneliti keamanan menemukan malware baru bernama ZionSiphon yang diduga dirancang khusus untuk menyerang sistem pengolahan air dan fasilitas desalinasi di Israel. Malware ini dinilai menarik perhatian karena tidak hanya menargetkan jaringan teknologi informasi biasa, tetapi juga menyasar Operational Technology (OT) yang berhubungan langsung dengan pengelolaan air dan kontrol industri.

Perusahaan keamanan siber Darktrace menjadi pihak yang pertama kali mengungkap keberadaan malware tersebut. Mereka menamai ancaman ini sebagai ZionSiphon karena kemampuannya dalam membangun persistensi di sistem korban, memanipulasi file konfigurasi lokal, serta melakukan pemindaian terhadap layanan yang relevan dengan sistem industri.

Berdasarkan data yang tercatat di VirusTotal, sampel malware ini pertama kali terdeteksi di dunia nyata pada 29 Juni 2025. Waktu kemunculannya dinilai cukup mencurigakan karena terjadi hanya beberapa hari setelah berakhirnya konflik bersenjata antara Iran dan Israel yang dikenal sebagai Perang Dua Belas Hari, yang berlangsung pada 13 hingga 24 Juni 2025.

Darktrace menjelaskan bahwa ZionSiphon menggabungkan berbagai teknik serangan sekaligus, mulai dari eskalasi hak akses, persistensi, penyebaran melalui USB, hingga pemindaian terhadap sistem Industrial Control System (ICS). Malware ini bahkan dirancang memiliki kemampuan sabotase terhadap pengaturan kadar klorin dan tekanan air.

Menurut perusahaan tersebut, hal ini menunjukkan adanya peningkatan eksperimen serangan bermotif politik terhadap infrastruktur kritis global, khususnya yang berhubungan dengan teknologi operasional industri.

Menargetkan Infrastruktur Air Israel

Yang membuat ZionSiphon berbeda dari malware biasa adalah fokus serangannya yang sangat spesifik. Malware ini dirancang untuk menargetkan sistem yang berada dalam rentang alamat IPv4 tertentu yang berlokasi di Israel.

Rentang IP yang menjadi sasaran antara lain:

• 2.52.0.0 hingga 2.55.255.255
• 79.176.0.0 hingga 79.191.255.255
• 212.150.0.0 hingga 212.150.255.255

Selain itu, malware ini juga menyisipkan pesan-pesan politik yang menunjukkan dukungan terhadap Iran, Palestina, dan Yaman. Tak hanya itu, terdapat pula string yang secara spesifik berkaitan dengan fasilitas pengolahan air dan desalinasi milik Israel.

Darktrace menemukan bahwa malware ini memiliki logika serangan yang cukup jelas. Payload hanya akan aktif jika dua kondisi terpenuhi secara bersamaan, yaitu lokasi geografis target sesuai dengan Israel dan lingkungan sistem menunjukkan karakteristik yang berkaitan dengan instalasi pengolahan air atau desalinasi.

Dengan kata lain, malware ini tidak akan langsung aktif di semua perangkat yang terinfeksi. Ia terlebih dahulu memastikan bahwa target benar-benar merupakan sistem yang diincar. Strategi seperti ini biasanya digunakan dalam serangan siber tingkat lanjut agar pelaku tidak mudah terdeteksi.

Cara Kerja ZionSiphon

Setelah berhasil dijalankan, ZionSiphon akan mulai mengidentifikasi perangkat yang berada dalam subnet lokal. Malware kemudian mencoba melakukan komunikasi menggunakan sejumlah protokol industri yang umum digunakan dalam sistem OT, seperti Modbus, DNP3, dan S7comm.

Ketiga protokol tersebut merupakan bagian penting dalam sistem kontrol industri karena digunakan untuk menghubungkan perangkat seperti sensor, kontroler, dan sistem pemantauan.

Setelah menemukan target yang sesuai, malware akan memodifikasi file konfigurasi lokal dengan mengubah parameter yang berhubungan dengan dosis klorin dan tekanan air. Jika berhasil dilakukan, perubahan tersebut berpotensi mengganggu proses pengolahan air dan menimbulkan dampak serius pada fasilitas yang diserang.

Namun, hasil analisis menunjukkan bahwa jalur serangan berbasis Modbus menjadi bagian yang paling matang dalam malware ini. Sementara dukungan untuk protokol DNP3 dan S7comm masih terlihat belum sempurna dan hanya berupa kode parsial yang belum sepenuhnya berfungsi.

Hal ini menjadi indikasi kuat bahwa ZionSiphon masih berada dalam tahap pengembangan dan belum siap digunakan secara penuh.

Bisa Menyebar Lewat Flashdisk

Salah satu kemampuan yang cukup menarik dari ZionSiphon adalah fitur penyebaran melalui media removable seperti flashdisk USB. Teknik ini mengingatkan pada serangan malware industri terkenal seperti Stuxnet yang juga memanfaatkan perangkat USB untuk menyebarkan infeksi ke sistem yang terisolasi dari internet.

Jika malware berjalan pada perangkat yang tidak memenuhi kriteria target, ZionSiphon akan menjalankan mekanisme self-destruct atau penghancuran diri. Artinya, malware akan menghapus dirinya sendiri agar tidak meninggalkan jejak dan mengurangi kemungkinan terdeteksi oleh tim keamanan.

Meski terlihat canggih, Darktrace menemukan adanya kelemahan besar. Sampel malware yang dianalisis ternyata belum mampu menjalankan fungsi pengecekan negara targetnya sendiri secara sempurna, bahkan ketika alamat IP korban berada dalam rentang yang telah ditentukan.

Perilaku ini menunjukkan kemungkinan bahwa versi yang ditemukan memang sengaja dinonaktifkan, salah konfigurasi, atau benar-benar belum selesai dibuat.

Meski demikian, struktur keseluruhan kode tetap menunjukkan adanya aktor ancaman yang sedang bereksperimen dengan manipulasi OT multi-protokol, persistensi di jaringan operasional, dan teknik penyebaran melalui media removable seperti yang pernah terlihat pada kampanye serangan ICS sebelumnya.

Munculnya Malware Lain: RoadK1ll

Dalam laporan yang sama, peneliti juga menemukan implant berbasis Node.js bernama RoadK1ll. Malware ini dirancang untuk mempertahankan akses stabil ke jaringan yang telah disusupi sambil tetap menyamarkan aktivitasnya agar tampak normal.

RoadK1ll bekerja menggunakan teknik reverse tunneling. Malware ini membuat koneksi WebSocket keluar menuju server yang dikendalikan penyerang, kemudian menggunakan koneksi tersebut untuk mengatur lalu lintas TCP sesuai kebutuhan.

Berbeda dengan remote access trojan tradisional, RoadK1ll tidak memiliki banyak perintah kompleks dan tidak membutuhkan listener masuk pada host korban.

Fungsi utamanya adalah mengubah satu perangkat yang terinfeksi menjadi titik relay yang dapat dikendalikan penyerang. Dari titik ini, pelaku dapat bergerak ke sistem internal lain, layanan penting, dan segmen jaringan yang sebelumnya tidak bisa diakses dari luar perimeter keamanan perusahaan.

Backdoor Tersembunyi Bernama AngrySpark

Selain ZionSiphon dan RoadK1ll, perusahaan keamanan Gen Digital juga mengungkap keberadaan backdoor lain bernama AngrySpark. Malware ini menggunakan teknik virtual machine (VM) obfuscation untuk menyembunyikan aktivitasnya.

AngrySpark ditemukan hanya pada satu mesin di Inggris dan diketahui beroperasi selama sekitar satu tahun, dari Mei 2022 hingga Juni 2023, sebelum akhirnya menghilang tanpa jejak setelah infrastruktur yang digunakannya kedaluwarsa.

Cara kerja AngrySpark terdiri dari tiga tahap. Pertama, sebuah file DLL yang menyamar sebagai komponen Windows dimuat melalui Task Scheduler. File ini kemudian mendekripsi konfigurasi yang disimpan di registry dan menyuntikkan shellcode ke dalam proses svchost.exe.

Shellcode tersebut kemudian menjalankan mesin virtual internal yang memproses sekitar 25KB instruksi bytecode untuk membangun payload utama berupa beacon.

Beacon ini bertugas mengumpulkan profil mesin korban, mengirim data ke server penyerang melalui HTTPS yang disamarkan sebagai permintaan file gambar PNG, dan menerima shellcode terenkripsi untuk dieksekusi.

Hasil akhirnya adalah malware yang mampu membangun persistensi tersembunyi, mengubah perilaku hanya dengan mengganti blob instruksi, serta menciptakan jalur command-and-control (C2) yang sangat sulit terdeteksi oleh sistem pertahanan.

Dragos Sebut ZionSiphon Belum Berbahaya

Meski ZionSiphon terlihat mengkhawatirkan, perusahaan keamanan OT Dragos justru menilai ancaman ini belum benar-benar serius.

Dalam pembaruan analisis yang diterbitkan pada 23 April, Dragos menyebut ZionSiphon sebagai “upaya buruk” dalam membuat malware OT menggunakan large language model (LLM). Mereka menilai malware tersebut penuh kesalahan teknis dan belum menjadi ancaman kredibel bagi fasilitas desalinasi maupun infrastruktur kritis lainnya.

Peneliti keamanan Jimmy Wylie mengatakan bahwa kode malware tersebut menunjukkan minimnya pemahaman terhadap sistem desalinasi bendungan maupun protokol ICS. Menurutnya, malware itu tidak akan mampu menimbulkan dampak negatif yang signifikan di lingkungan OT, apalagi sampai menyebabkan kadar klorin menjadi berbahaya.

Pemeriksaan terhadap host yang berkaitan dengan sistem desalinasi juga dinilai tidak efektif. Begitu pula manipulasi klorin melalui file konfigurasi dan Modbus TCP yang dianggap tidak akan berjalan sebagaimana mestinya. ahkan, kode yang digunakan untuk memeriksa perangkat Modbus TCP, DNP3, dan S7Comm disebut masih sangat mentah dan dalam beberapa bagian justru salah secara teknis.

Meski belum matang, kemunculan ZionSiphon tetap menjadi pengingat penting bahwa ancaman terhadap infrastruktur kritis kini semakin berkembang. Serangan terhadap sistem air, listrik, dan industri tidak lagi sekadar teori, tetapi menjadi area nyata yang terus diuji oleh pelaku ancaman siber di berbagai belahan dunia