网络安全公司Darktrace分析发现一款名为ZionSiphon的新型恶意软件，其目标并非用户计算机，而是直接针对以色列的水处理与海水淡化系统，包括调节氯浓度和压力的设施。该恶意软件包含支持伊朗、巴勒斯坦和也门的政治声明，并威胁要对特拉维夫和海法居民投毒。ZionSiphon通过地理定位（检查以色列IP地址范围）和系统特征（寻找与反渗透、泵和氯化系统相关的特定进程、目录和配置文件）来筛选目标，并内置了如Mekorot等以色列水务相关公司和设施的名称。 攻击流程上，ZionSiphon首先尝试通过PowerShell获取管理员权限，然后伪装成Windows进程svchost.exe进行持久化驻留。若判定系统不合适，它会自我删除。一旦成功，它会修改配置文件以增加氯浓度和压力，或进行网络扫描，尝试通过Modbus等工业协议向发现的设备发送命令来改变氯浓度相关寄存器值。此外，它还能通过感染U盘进行传播。 然而，分析指出该恶意软件存在明显缺陷：其地理检查逻辑存在错误，导致难以识别合适系统；部分针对DNP3和S7等协议的功能不完整，无法生成有效命令。整体来看，ZionSiphon似乎处于未完成或测试阶段，但其结构和意图明确指向了对关键基础设施进行物理过程干扰的攻击，超越了传统的数据窃取或勒索范畴。