Israel

Pesquisadores de cibersegurança identificaram um novo malware chamado ZionSiphon, projetado para atacar sistemas de tratamento e dessalinização de água em Israel. O malware, que foi detectado pela primeira vez em 29 de junho de 2025, logo após a Guerra de Doze Dias entre Irã e Israel, é capaz de estabelecer persistência, modificar arquivos de configuração locais e escanear serviços relevantes de tecnologia operacional (OT) na rede local. O ZionSiphon se destaca por sua capacidade de escalonamento de privilégios e propagação via dispositivos USB, além de suas funções de sabotagem voltadas para o controle de cloro e pressão. O código do malware ainda está em desenvolvimento, apresentando funcionalidades incompletas e um comportamento que sugere que ele pode não estar totalmente operacional. Além disso, o malware contém mensagens políticas que expressam apoio ao Irã, Palestina e Iémen, e é programado para ativar apenas em condições geográficas e ambientais específicas. A descoberta do ZionSiphon coincide com a identificação de outras ameaças, como o implante RoadK1ll, que permite acesso remoto a redes comprometidas. Este cenário destaca a crescente experimentação com ataques a infraestruturas críticas motivados politicamente em todo o mundo.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.