# Lotus Wiper apunta al sector energético venezolano en una campaña cibernética destructiva  Investigadores de ciberseguridad han descubierto un destructor de datos previamente no documentado, **Lotus Wiper**, que fue desplegado en ataques dirigidos a Venezuela a finales de 2025 y principios de 2026. ## Detalles de la Campaña Destructiva Según los hallazgos de **Kaspersky**, el novedoso destructor de archivos se ha utilizado en una campaña destructiva dirigida al sector de energía y servicios públicos en Venezuela. Los ataques no parecen tener motivación financiera. "Dos scripts por lotes son responsables de iniciar la fase destructiva del ataque y preparar el entorno para ejecutar la carga útil final del destructor", dijo el proveedor ruso de ciberseguridad. "Estos scripts coordinan el inicio de la operación en toda la red, debilitan las defensas del sistema y interrumpen las operaciones normales antes de recuperar, desofuscar y ejecutar un destructor previamente desconocido". Una vez desplegado, el destructor borra los mecanismos de recuperación, sobrescribe el contenido de las unidades físicas y elimina sistemáticamente archivos en los volúmenes afectados, dejando el sistema inoperable. ## Momento y Posible Contexto Geopolítico Notablemente, el destructor fue subido a una plataforma pública a mediados de diciembre de 2025 desde una máquina en Venezuela, semanas antes de la acción militar de EE. UU. en el país a principios de enero de 2026. La muestra fue compilada a finales de septiembre de 2025. Si bien un vínculo directo no ha sido confirmado, **Kaspersky** destaca que la carga se produjo "durante un período de aumento de informes públicos de actividad de malware dirigida al mismo sector y región", lo que sugiere un ataque altamente dirigido. ## Análisis de la Cadena de Ataque El ataque comienza con un script por lotes que activa una secuencia de múltiples etapas para desplegar la carga útil del destructor. El script intenta detener el servicio de Detección de Servicios Interactivos de **Windows** (UI0Detect), diseñado para alertar a los usuarios cuando un servicio en segundo plano intenta mostrar una interfaz gráfica. La presencia de UI0Detect sugiere que el script se dirige a sistemas que ejecutan versiones anteriores a **Windows** 10 versión 1803. El script verifica si existe un recurso compartido NETLOGON y accede a un archivo XML remoto. Luego, ejecuta un segundo script por lotes después de verificar la existencia de un archivo local correspondiente. "La verificación local probablemente intenta determinar si la máquina forma parte de un dominio de **Active Directory**", explicó **Kaspersky**. "Si no se encuentra el archivo remoto, el script sale. En los casos en que el recurso compartido NETLOGON no es accesible inicialmente, el script introduce un retraso aleatorio de hasta 20 minutos antes de reintentar la verificación remota". ## Funcionalidad del Destructor El segundo script por lotes enumera las cuentas de usuario locales, deshabilita los inicios de sesión en caché, cierra las sesiones activas, desactiva las interfaces de red y ejecuta el comando `diskpart clean all` para borrar todas las unidades lógicas identificadas. También utiliza `robocopy` para reflejar o eliminar carpetas recursivamente, calcula el espacio libre disponible y utiliza `fsutil` para crear un archivo que llena toda la unidad. Después de preparar el entorno, **Lotus Wiper** elimina los puntos de restauración, sobrescribe los sectores físicos con ceros, borra los números de secuencia de actualización (USN) de los diarios de los volúmenes y borra todos los archivos del sistema para cada volumen montado. ## Estrategias de Mitigación Se recomienda a las organizaciones que monitoreen los cambios en los recursos compartidos NETLOGON, la actividad de volcado de credenciales o escalada de privilegios, y el uso de utilidades nativas de **Windows** como `fsutil`, `robocopy` y `diskpart` para acciones destructivas. **Kaspersky** sugiere que los atacantes poseían conocimiento previo del entorno y comprometieron el dominio mucho antes del ataque, dado que el destructor se dirigía a versiones más antiguas de **Windows**.