SionSiphon : la menace pour les infrastructures d'eau qui pourraient saboter l'eau que vous consommez

Ces dernières semaines, la communauté de la sécurité a activé les alarmes après avoir trouvé une famille de malwares qui, en raison de sa conception et des conditions qu'elle impose pour activer, semble spécifiquement orientée vers l'infrastructure d'un pays. La signature qui l'a baptisé comme SionSiphon a détecté que le code cherche la persistance dans les machines compromises, manipule les fichiers de configuration locaux et explore le réseau local à la recherche de services et d'équipements industriels, un modèle qui le place clairement dans le domaine des menaces aux systèmes d'exploitation industriels (OT).

Selon des dossiers publics et des métadonnées partagées sur des plateformes d'analyse d'échantillons, la première instance de ce binaire est apparue dans VirusTotal fin juin 2025, peu après un épisode de guerre régionale. Les chercheurs soulignent que le malware n'est pas une arme générique: il contient des contrôles géographiques basés sur les plages IPv4 définies en Israël et inspecte également des éléments spécifiques de l'environnement pour s'assurer que la charge malveillante ne fonctionne que dans les installations de traitement de l'eau et de dessalement. Ce double filtre - emplacement et contexte opérationnel - est ce qui rend ZionSiphon plus qu'un simple cheval de Troie : c'est un outil conçu pour attaquer une infrastructure critique spécifique. Pour les consultations sur l'échantillon et sa traçabilité, la collectivité utilise souvent des dépôts comme VirusTotal, tandis que l'entreprise qui a donné une visibilité à l'affaire offre plus de contexte sur son site web d'entreprise Trace noire.

D'un point de vue technique, ZionSiphon intègre plusieurs modules : l'escalade des privilèges, les mécanismes de persistance, la capacité à se propager par des moyens et des fonctions amovibles pour sonner et communiquer avec les protocoles habituels dans des environnements industriels tels que Modbus, DNP3 et S7comm. En particulier, l'analyse indique que le segment orienté vers Modbus est plus avancé, tandis que la mise en œuvre pour DCP3 et S7comm est encore immature. Leur action de sabotage, selon l'analyse, est dirigée vers des paramètres spécifiques tels que les doses de chlore et les variables liées à la pression, c'est-à-dire pour manipuler des ajustements qui dans le monde réel pourraient dégrader les processus de potification ou de dessalement. Pour comprendre l'importance et les particularités de ces protocoles dans les environnements industriels, vous pouvez voir la documentation et les alertes publiées par l'agence américaine responsable de la cybersécurité industrielle : CISA - Systèmes de contrôle industriel.

Une autre caractéristique frappante est l'incorporation de messages politiques dans le binaire et la logique de l'autodestruction: si l'équipement engagé ne répond pas aux conditions du pays ou de l'environnement opérationnel, le code exécute une routine à supprimer. Ce comportement peut indiquer que les développeurs ont cherché à minimiser le bruit et la détection en dehors de la cible prévue, ou qu'il s'agit d'une version incomplète ou délibérément désactivée pour l'empêcher de tomber entre les mains d'autres pendant leur phase d'essai. La présence de chaînes et de contrôles spécifiques suggère un acteur qui expérimente la manipulation multiprotocole d'environnements OT et avec des vecteurs de propagation hérités tels que les périphériques USB.

L'apparition de ZionSiphon n'est pas isolée. Parallèlement, les fournisseurs de sécurité ont publié des recherches sur d'autres outils qui reflètent des tendances inquiétantes dans le répertoire des attaquants : un implant basé sur Node.js détecté par Blackpoint Cyber fonctionne comme un tunnel inverse sur WebSockets pour transformer une machine engagée en un relais à partir duquel pivoter en interne sans avoir besoin d'auditeurs entrants; sa conception vise à imiter le trafic légitime et maintenir la persistance avec faible visibilité. L'entreprise elle-même qui a signalé cet implant offre des détails techniques sur son canal de sensibilisation, utiles pour comprendre comment les attaquants utilisent des technologies apparemment bénignes pour dessiner des périmètres : Blackpoint Cyber - blog.

En outre, l'industrie a vu des cas sophistiqués de portes arrière qui utilisent des machines virtuelles internes pour contourner leur logique et rendre l'analyse médico-légale difficile. Un exemple récent décrit par des chercheurs d'une grande entreprise de cybersécurité explique un schéma en trois phases : un chargeur installé comme un composant légitime de Windows, une routine qui décrypte la configuration du registre et un moteur de machine virtuel qui interprète un octecode blob pour assembler la charge utile réelle, qui est communiquée de manière apparemment inoffensive avec des serveurs distants. Ce type de technique soulève la barre : il ne suffit plus de détecter des binaires suspects, car le code malveillant peut résider dans des couches qui semblent inoffensives et se comporter de manière polymorphe. Des informations sur cette enquête et le contexte de la menace sont souvent publiées sur les canaux des entreprises elles-mêmes, comme la section de recherche de la Gen numérique.

Qu'est-ce que ces constatations nous disent de la menace pour les infrastructures essentielles? Premièrement, ces acteurs politiques ou géostratégiques investissent dans des outils qui combinent l'exploration des réseaux d'OT, la manipulation des paramètres industriels et des mécanismes d'infiltration qui respectent les barrières géographiques ou environnementales. Deuxièmement, les techniques utilisées aujourd'hui - réglage inverse sur les protocoles web, machines virtuelles internes, propagation par des moyens amovibles - sont héritées des campagnes précédentes mais adaptées et mélangées de nouvelles manières. Il en résulte un tableau dans lequel les usines de traitement et de dessalement, qui fonctionnent souvent avec de vieux équipements et des priorités de disponibilité supérieures à la sécurité, deviennent critiques et vulnérables. Pour avoir un contexte historique sur les attaques contre les infrastructures industrielles, vous pouvez voir l'analyse d'incidents emblématiques, comme Stuxnet, qui illustrent comment les dommages physiques peuvent devenir une cible par malware: Symantec - Stuxnet.

D'après la pratique opérationnelle, les contre-mesures ne sont pas banales, mais il existe des mesures qui réduisent considérablement les risques : segmentation des réseaux d'OT et séparation claire entre les environnements d'entreprise et de contrôle, contrôle strict des moyens amovibles et politiques pour leur utilisation, surveillance continue des protocoles industriels et modification des paramètres critiques, ainsi que collaboration entre les opérateurs, les organismes de réglementation et la communauté du renseignement sur les menaces de partager des indicateurs et des techniques. La cyberdéfense des infrastructures essentielles exige à la fois de bonnes pratiques technologiques et une volonté et des ressources spécifiques de l'organisation. Les guides et recommandations des organismes tels que CISA sont utiles comme référence pour les opérateurs et les responsables de la sécurité.

Enfin, il est important de se rappeler que la simple détection d'échantillons et de routines ne permet pas toujours un certain attribut d'une attaque: l'utilisation de messages politiques, le niveau de développement de logiciels malveillants et les tests fonctionnels peuvent indiquer d'une campagne dirigée par l'État à des développements expérimentaux de groupes tests capacités. Entre-temps, les responsables des usines d'aqueduc, des dessalers et d'autres infrastructures essentielles devraient prendre ces constatations comme un rappel urgent : les attaquants ne cherchent pas seulement des données, ils peuvent également essayer de modifier les processus physiques, et la surveillance, l'isolement et la réponse préparée sont le meilleur vaccin contre ce risque.