Kaspersky documente Lotus Wiper, malware destructeur inédit ciblant les opérateurs énergie au Venezuela. Pas de rançon : sabotage géopolitique probable.
En bref
- Kaspersky documente Lotus Wiper, un malware destructeur inédit déployé contre le secteur énergie et utilities au Venezuela.
- Le wiper écrase les secteurs physiques des disques, purge les points de restauration et le journal USN, rendant les systèmes compromis irrécupérables sans plan de reprise externe.
- Compilé fin septembre 2025, déposé sur VirusTotal depuis le Venezuela en décembre, sans demande de rançon : la campagne semble motivée par un objectif politique, pas financier.
Ce qui s'est passé
Les équipes de recherche de Kaspersky ont révélé ce 23 avril l'existence de Lotus Wiper, un malware destructeur jusque-là non documenté, utilisé dans des attaques ciblées contre des opérateurs d'énergie et d'utilities au Venezuela. L'artefact a été compilé fin septembre 2025 et un échantillon lié à la campagne a été soumis à un dépôt public de malware à la mi-décembre depuis une adresse vénézuélienne, selon la télémétrie publique analysée par les chercheurs.
Techniquement, Lotus opère à bas niveau via des appels IOCTL directs aux disques. Il récupère la géométrie du support, efface les entrées du journal USN, supprime les points de restauration Windows, puis réécrit les secteurs physiques — pas seulement les volumes logiques. Cette approche dépasse la simple destruction de fichiers : elle vise à rendre toute restauration locale impossible, en détruisant les métadonnées qui permettraient à un outil forensique de reconstruire les données écrasées. Les fichiers sont également supprimés systématiquement sur l'ensemble des volumes affectés, couche par couche.
Aucune note de rançon, aucune instruction de paiement, aucune adresse de portefeuille crypto : le binaire ne contient aucun mécanisme d'extorsion. Pour les analystes, ce détail est signant — il caractérise une opération de sabotage et non une campagne cybercriminelle classique. L'attribution reste ouverte, Kaspersky ne pointant aucun groupe ni État à ce stade.
Pourquoi c'est important
La chronologie recoupe les tensions géopolitiques régionales : l'activité observée coïncide avec la période ayant précédé et suivi l'arrestation de Nicolás Maduro le 3 janvier 2026. Un wiper ciblé contre le secteur énergétique d'un pays précis, sans motif financier, rappelle les précédents WhisperGate et HermeticWiper déployés en Ukraine en 2022 dans le cadre d'opérations hybrides. Les équipes de réponse à incident doivent considérer Lotus comme un outil de guerre cyber, pas comme un malware opportuniste.
Pour les opérateurs d'infrastructures critiques hors Venezuela, l'intérêt opérationnel est direct : les IOC publiés par Kaspersky doivent être intégrés aux règles EDR, et la résilience des plans de reprise testée contre un scénario de destruction totale. Les sauvegardes hors-ligne immuables deviennent la seule parade efficace face à un wiper qui rend les systèmes compromis non restaurables localement. Couplée aux alertes en cours sur des ransomwares post-quantiques expérimentaux et à la multiplication des fuites en bourse cyber comme l'incident ANTS en France, la menace sur les OT et utilities monte d'un cran.
Ce qu'il faut retenir
- Lotus Wiper écrase les disques au niveau physique et détruit les mécanismes de restauration Windows : une compromission équivaut à une perte totale des systèmes non sauvegardés hors-ligne.
- Absence de demande de rançon : il s'agit d'un outil de sabotage, cohérent avec un scénario d'opération étatique ou para-étatique dans un contexte géopolitique tendu.
- Les opérateurs d'infrastructures critiques doivent tester leurs plans de reprise contre une destruction totale, et vérifier l'immuabilité de leurs sauvegardes hors-ligne.
Un EDR classique peut-il bloquer Lotus Wiper ?
Les appels IOCTL directs aux disques, typiques des wipers avancés, sont détectables par les EDR modernes qui surveillent les accès bas niveau aux volumes. Reste que l'efficacité dépend de règles comportementales spécifiques aux wipers et d'un durcissement des droits d'écriture disque — un EDR par défaut, sans règles dédiées, risque de ne détecter l'incident qu'après destruction.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CanisterWorm : ver npm auto-propagé via pgserve
CanisterWorm, ver npm auto-propagé, se réplique via les tokens de publication. Première vague sur pgserve (Namastex Labs) le 21 avril 2026.
Vercel confirme une intrusion, comptes clients exposés
Vercel reconnaît le 23 avril 2026 une extension de l'incident de sécurité : comptes clients compromis et données potentiellement en vente.
RedSun : le zero-day Defender sans patch donne SYSTEM
Un zero-day dans Microsoft Defender, sans patch disponible, permet à tout utilisateur local d'obtenir SYSTEM. Exploitation confirmée depuis le 16 avril 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire