网络安全研究人员发现一款名为ZionSiphon的新型恶意软件，其设计专门针对以色列的水处理和海水淡化系统。该恶意软件由Darktrace命名，具备建立持久性、篡改本地配置文件以及在本地子网扫描与操作技术（OT）相关服务的能力。根据VirusTotal的详细信息，该样本首次在野外被检测到的时间是2025年6月29日，恰逢6月13日至24日伊朗与以色列之间“十二日战争”结束之后。ZionSiphon目前处于未完成状态，其特点是专注于以色列目标，针对一组位于以色列境内的特定IPv4地址范围。恶意软件内嵌了与伊朗、巴勒斯坦和也门相关的政治支持信息，并包含与以色列水务基础设施相关的字符串。其有效载荷仅在满足地理位置和特定水处理/海水淡化环境条件时才会激活。一旦启动，它会探测本地子网设备，尝试使用Modbus、DNP3和S7comm协议进行通信，并篡改与氯剂量和压力相关的参数。该恶意软件还能通过可移动介质传播感染，在不满足条件的系统上会启动自毁程序。研究人员指出，尽管包含破坏、扫描和传播功能，但当前样本似乎无法完全满足其自身的国家检查功能，表明其可能处于故意禁用、配置错误或未完成状态。同期披露的还有一款名为RoadK1ll的基于Node.js的植入程序，旨在通过建立出站WebSocket连接来维持对受感染网络的可靠访问。此外，Gen Digital还揭露了一个名为AngrySpark的虚拟机混淆后门，该后门曾在2022年5月至2023年6月期间在英国的一台机器上运行，其基础设施过期后便消失无踪。AngrySpark作为一个三阶段系统运行，能够建立隐蔽的持久性并设置隐蔽的命令与控制（C2）通道。