Un logiciel malveillant destin\u00e9 \u00e0 effacer d\u00e9finitivement les donn\u00e9es de postes informatiques vient de faire surface dans le secteur \u00e9nerg\u00e9tique v\u00e9n\u00e9zu\u00e9lien.<\/p>\n
La b\u00eate a \u00e9t\u00e9 baptis\u00e9e “Lotus” par les chercheurs de Kaspersky qui l’ont analys\u00e9 en premier, il a \u00e9t\u00e9 mise en route en d\u00e9cembre 2025 depuis un ordinateur v\u00e9n\u00e9zu\u00e9lien, et sa cible principale semble \u00eatre PDVSA, la compagnie p\u00e9troli\u00e8re d’\u00c9tat.<\/p>\n
C\u00f4t\u00e9 technique, Lotus ne fait pas dans la dentelle. Deux scripts batch pr\u00e9paratoires, OhSyncNow.bat et notesreg.bat, d\u00e9sactivent toutes les d\u00e9fenses, coupent les comptes utilisateurs et ferment les interfaces r\u00e9seau, histoire de bien tout bloquer.<\/p>\n
Ensuite, le binaire principal passe en mode destruction avec diskpart, robocopy et fsutil pour manipuler le syst\u00e8me de fichiers, puis descend au niveau IOCTL pour \u00e9craser directement des secteurs physiques du disque. Les points de restauration sont supprim\u00e9s, le journal USN est effac\u00e9. Aucune r\u00e9cup\u00e9ration possible.<\/p>\n
LKaspersky ne pointe personne, et aucun \u00e9l\u00e9ment technique ne d\u00e9signe un \u00c9tat ou un groupe criminel en particulier. Le timing est quand m\u00eame troublant : fin 2025 et d\u00e9but 2026, le Venezuela a travers\u00e9 une crise politique majeure avec la capture de l’ancien pr\u00e9sident Nicol\u00e1s Maduro le 3 janvier, et les tensions toujours fortes autour des infrastructures \u00e9nerg\u00e9tiques. Co\u00efncidence ou coordination, on ne saura probablement pas avant longtemps.<\/p>\n
En pratique, un wiper qui cible PDVSA, \u00e7a rappelle imm\u00e9diatement les attaques contre les infrastructures critiques qu’on a vues en Ukraine avec Stryker ou contre des clusters Kubernetes avec la variante TeamPCP.<\/p>\n
L’objectif n’est pas le chantage ni le vol, c’est la destruction pure. Les op\u00e9rateurs ne cherchent pas \u00e0 exfiltrer quelque chose, ils veulent rendre l’infrastructure inutilisable le plus vite possible, pour d\u00e9stabiliser ou punir.<\/p>\n
Un r\u00e9seau d’alimentation \u00e9lectrique ou de distribution de carburant paralys\u00e9 quelques jours, \u00e7a a des cons\u00e9quences directes sur la vie quotidienne et sur la stabilit\u00e9 politique d’un r\u00e9gime.<\/p>\n
Ce qui inqui\u00e8te, c’est aussi la qualit\u00e9 du code. Lotus n’est pas un script amateur coll\u00e9 \u00e0 la va-vite : il encha\u00eene plusieurs \u00e9tapes de sabotage m\u00e9thodique, de la d\u00e9sactivation des d\u00e9fenses \u00e0 la destruction bas niveau du disque.<\/p>\n
Pour un pays qui n’a d\u00e9j\u00e0 pas la r\u00e9putation d’avoir la cybers\u00e9curit\u00e9 la plus pointue du continent, encaisser ce genre d’outil, \u00e7a fait mal. Et la probabilit\u00e9 que d’autres \u00e9chantillons du m\u00eame auteur circulent d\u00e9j\u00e0 ailleurs est loin d’\u00eatre nulle.<\/p>\n
Bref, un wiper bien fichu sur une compagnie p\u00e9troli\u00e8re d’\u00c9tat dans un pays en crise, c’est rarement l’\u0153uvre d’un adolescent dans son garage. Affaire \u00e0 suivre donc.<\/p>\n