# Lotus Wiper cible le secteur énergétique vénézuélien dans une campagne de cyber destruction  Des chercheurs en cybersécurité ont découvert un destructeur de données jusqu'alors inconnu, **Lotus Wiper**, qui a été déployé lors d'attaques visant le Venezuela fin 2025 et début 2026. ## Détails de la campagne destructive Selon les conclusions de **Kaspersky**, ce nouveau destructeur de fichiers a été utilisé dans une campagne destructive visant le secteur de l'énergie et des services publics au Venezuela. Les attaques ne semblent pas motivées par des gains financiers. « Deux scripts batch sont responsables du lancement de la phase destructive de l'attaque et de la préparation de l'environnement pour l'exécution du payload destructeur final », a déclaré le fournisseur russe de cybersécurité. « Ces scripts coordonnent le début de l'opération sur le réseau, affaiblissent les défenses du système et perturbent les opérations normales avant de récupérer, désobfusquer et exécuter un destructeur inconnu jusqu'alors. » Une fois déployé, le destructeur efface les mécanismes de récupération, écrase le contenu des disques physiques et supprime systématiquement les fichiers sur les volumes affectés, rendant le système inopérant. ## Calendrier et contexte géopolitique potentiel Notamment, le destructeur a été téléchargé sur une plateforme publique à la mi-décembre 2025 depuis une machine au Venezuela, quelques semaines avant l'action militaire américaine dans le pays début janvier 2026. L'échantillon a été compilé fin septembre 2025. Bien qu'un lien direct reste non confirmé, **Kaspersky** souligne que le téléchargement a eu lieu « pendant une période de rapports publics accrus d'activité de malware ciblant le même secteur et la même région », suggérant une attaque hautement ciblée. ## Analyse de la chaîne d'attaque L'attaque commence par un script batch qui déclenche une séquence multi-étapes pour déployer le payload destructeur. Le script tente d'arrêter le service **Windows** Interactive Services Detection (UI0Detect), conçu pour alerter les utilisateurs lorsqu'un service en arrière-plan tente d'afficher une interface graphique. La présence de UI0Detect suggère que le script cible les systèmes exécutant des versions antérieures à **Windows** 10 version 1803. Le script vérifie la présence d'un partage NETLOGON et accède à un fichier XML distant. Il exécute ensuite un second script batch après avoir vérifié la présence d'un fichier local correspondant. « La vérification locale tente très probablement de déterminer si la machine fait partie d'un domaine **Active Directory** », a expliqué **Kaspersky**. « Si le fichier distant n'est pas trouvé, le script se termine. Dans les cas où le partage NETLOGON est initialement inaccessible, le script introduit un délai aléatoire allant jusqu'à 20 minutes avant de retenter la vérification à distance. » ## Fonctionnalités du destructeur Le second script batch énumère les comptes utilisateurs locaux, désactive les connexions mises en cache, déconnecte les sessions actives, désactive les interfaces réseau et exécute la commande `diskpart clean all` pour effacer tous les lecteurs logiques identifiés. Il utilise également `robocopy` pour copier ou supprimer récursivement des dossiers, calcule l'espace libre disponible et utilise `fsutil` pour créer un fichier qui remplit l'intégralité du lecteur. Après avoir préparé l'environnement, **Lotus Wiper** supprime les points de restauration, écrase les secteurs physiques avec des zéros, efface les numéros de séquence de mise à jour (USN) des journaux des volumes et supprime tous les fichiers du système pour chaque volume monté. ## Stratégies d'atténuation Il est conseillé aux organisations de surveiller les modifications du partage NETLOGON, les activités de vol d'identifiants ou d'escalade de privilèges, ainsi que l'utilisation d'utilitaires natifs **Windows** tels que `fsutil`, `robocopy` et `diskpart` pour des actions destructrices. **Kaspersky** suggère que les attaquants possédaient une connaissance préalable de l'environnement et avaient compromis le domaine bien avant l'attaque, compte tenu du ciblage par le destructeur des anciennes versions de **Windows**.