À la fin de 2025 et au début de 2025, des chercheurs en cybersécurité ont identifié un malware destructeur qui a été utilisé jusqu'à présent dans une série d'attaques dirigées contre le secteur de l'énergie et des services publics au Venezuela. L'artefact, baptisé par les analyses comme Essuie Lotus, ne cherche pas l'extorsion: sa conception vise à laisser des systèmes inutilisables en supprimant les mécanismes de récupération et d'écraser les fichiers et les secteurs physiques du disque.
Selon la recherche publiée par la société qui l'a suivi, la campagne combine des scripts par lots avec un exécutable final qui agit comme un projet de données de masse. Les scripts initiaux sont chargés de coordonner le début de l'action à travers le réseau, de dégrader les défenses locales et de préparer le terrain pour l'exécution de l'essuie-glaces. Les opérations préparatoires comprennent l'arrêt des services spécifiques au système, la vérification et la récupération des fichiers à partir de ressources de domaine partagées, et l'exécution des commandes natives de Windows à la fois pour supprimer les volumes et pour forcer le remplissage de stockage pour rendre toute récupération difficile.
Un détail technique pertinent est que le code tente d'interagir avec la détection de services Windows interactifs (appelé UI0Detect). Cette fonctionnalité a été supprimée dans les versions modernes du système d'exploitation, suggérant que le script a été conçu pour les machines avant Windows 10 version 1803. Cette piste, associée à l'utilisation de contrôles sur le partage typique de NETLOGON des domaines Active Directory, indique que les attaquants connaissaient la topologie et l'antiquité de l'environnement cible et avaient très probablement obtenu la persistance dans le domaine bien à l'avance.
La chaîne d'attaque comprend l'exécution de profits légitimes du système lui-même pour parvenir à la destruction. Des outils comme DISKPART (avec l'opération « tout nettoyer »), ROBOCOPY et FSUTIL sont utilisés pour nettoyer les disques, écraser les fichiers et consommer de l'espace libre jusqu'à ce que le volume soit laissé sans la capacité de fonctionner correctement. La dernière essuie-glaces complète le travail en supprimant les points de restauration, en écrivant des zéros dans les secteurs physiques et en réinitialisant des enregistrements tels que le journal USN des volumes, laissant le système dans un état où il est très difficile de récupérer des données sans sauvegarde propre.
L'échantillon a été compilé en septembre 2025 et, selon les dossiers publics, a été téléchargé sur une plateforme accessible depuis une machine au Venezuela en décembre 2025, des semaines avant qu'une action militaire américaine ne soit enregistrée dans le pays au début de janvier 2025. Les chercheurs soulignent la coïncidence temporaire mais évitent d'établir une relation directe sans autre preuve, bien qu'ils soulignent que l'augmentation s'est produite dans une période avec une augmentation des rapports publics d'activités malveillantes contre le même secteur et la même région.
Pour les responsables de la sécurité et les administrateurs, cela soulève un certain nombre de points pratiques. Premièrement, l'observation des changements dans les compartiments NETLOGON, l'accès anormal au contrôleur de domaine ou les panneaux d'escalade de privilège doivent être traités avec la plus haute priorité. De même, l'utilisation inhabituelle des bénéfices natifs tels que pièce disque, ROMOcopie ou sous-titrage sur les serveurs et postes de travail sensibles est un indicateur d'engagement qui mérite une recherche immédiate.
En plus de la détection, l'atténuation exige des mesures préventives classiques mais efficaces : segmentation du réseau pour limiter la portée d'un domaine engagé, principes de privilège minimum, resserrement des contrôleurs de domaine et politiques d'accès pour les ressources critiques. Avoir isolé, vérifié des sauvegardes et des tests de restauration réguliers peut faire une différence contre un essuie-glaces qui efface les données locales et les points de récupération. Les directives et les outils publics de lutte contre les attaques destructrices et les ransomwares fournissent de bons cadres d'action, par exemple, les recommandations des autorités visant à protéger contre les ransomwares et les attaques similaires contiennent des mesures applicables dans ces cas : CISA - StopRansomware.
Pour les chercheurs et l'équipement de détection, il est essentiel de conserver les preuves et les registres avant de nettoyer les systèmes pour comprendre les vecteurs et leur portée. Enregistrez et corrélez l'activité dans les contrôleurs de domaine, les événements PowerShell, les appels d'API critiques et les commandes système aide à reconstruire l'intrusion. Les fournisseurs de services de sécurité publient souvent des indicateurs et des tactiques, techniques et procédures (TTP) après avoir enquêté sur de tels incidents; dans ce cas, le rapport qui a identifié l'essuie-glaces provient d'une société de sécurité reconnue qui analyse les menaces actives à l'échelle mondiale : Kaspersky.
Enfin, il convient de rappeler que les agresseurs employés dans ces campagnes ne répondent pas toujours aux motivations économiques: l'absence de demandes de sauvetage et la force de l'effacement point à des objectifs de sabotage ou de coercition. Dans des environnements critiques comme l'énergie, où la disponibilité est essentielle, la combinaison de renseignement, de protection préventive et de préparation à la récupération est la meilleure défense contre des outils agressifs comme Lotus Wiper.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...