📰 Source : Zero Day (Kim Zetter) — Date de publication : 24 avril 2026

En décembre 2025, PDVSA (Petróleos de Venezuela), la compagnie pétrolière d’État vénézuélienne, a été victime d’une cyberattaque survenue le 13 décembre 2025. L’entreprise a reconnu l’incident le 15 décembre, minimisant son impact sur les opérations. Des rapports ultérieurs ont cependant indiqué des perturbations significatives des exportations pétrolières et une atteinte aux systèmes SCADA gérant les raffineries, usines de compression et pipelines.

🔍 Découverte du malware Lotus Wiper

Cette semaine, les chercheurs de Kaspersky Lab ont annoncé la découverte d’un programme wiper qu’ils ont nommé Lotus Wiper, décrit comme « hautement destructeur ». Le code a été compilé fin septembre 2025, soit plusieurs mois avant l’attaque. Le domaine pdvsa.com est codé en dur dans le fichier batch OhSyncNow.bat, limitant l’opération de destruction aux systèmes appartenant au domaine PDVSA. Si le script est exécuté hors de ce domaine, la phase de wiping ne se déclenche pas.

⚙️ Capacités techniques du wiper

  • Écrasement des données sur les disques durs
  • Suppression des sauvegardes et effacement des fichiers système
  • Effacement des journaux système et journaux de mise à jour pour éliminer les traces
  • Suppression du service Windows Interactive Services Detection (présent avant Windows 10 version 1803), suggérant que les attaquants savaient que PDVSA utilisait des systèmes legacy
  • Aucune demande de rançon codée : motivation strictement destructrice

La suppression ciblée du service de détection Windows (obsolète depuis Windows 10 v1803) indique que les attaquants avaient probablement compromis le domaine de PDVSA longtemps avant l’attaque pour en connaître l’environnement logiciel.

📅 Chronologie des événements

  • Fin septembre 2025 : compilation du code Lotus Wiper
  • 13 décembre 2025 : cyberattaque contre PDVSA
  • 14 décembre 2025 : upload des fichiers Lotus Wiper sur VirusTotal depuis un appareil au Venezuela, puis sur Hybrid Analysis
  • 15 décembre 2025 : déclaration publique de PDVSA reconnaissant l’attaque
  • Janvier 2026 : Bloomberg rapporte que PDVSA n’a toujours pas rétabli ses systèmes, les employés opérant via WhatsApp, Telegram et notes manuscrites

🌐 Contexte géopolitique

L’attaque s’est produite dans un contexte de tensions croissantes entre les États-Unis et le Venezuela : déploiement militaire américain dans la région, autorisation par Trump d’opérations clandestines de la CIA, saisie d’un pétrolier vénézuélien une semaine avant l’attaque. Le 3 janvier, des forces militaires américaines ont envahi le Venezuela et capturé Maduro. PDVSA et le ministère du pétrole ont accusé les États-Unis de l’attaque. Des précédents d’opérations cyber américaines contre le Venezuela existent (2019 : hack du système de paie militaire par la CIA, attaque contre le réseau de l’agence de renseignement vénézuélienne, opération de Cyber Command contre les communications satellites du groupe Wagner).

🔗 Lien avec l’attaque de décembre

Aucune preuve formelle n’établit que Lotus Wiper est le malware utilisé lors de l’attaque de décembre. Cependant, le domaine pdvsa.com codé en dur et le timing de l’upload sur VirusTotal (le lendemain de l’attaque, depuis le Venezuela) constituent des indices forts d’une connexion.

📌 Type d’article : Article de presse spécialisée combinant analyse technique et contextualisation géopolitique, visant à documenter la découverte du Lotus Wiper et son lien probable avec l’attaque de décembre 2025 contre PDVSA.

🧠 TTPs et IOCs détectés

TTP

  • T1485 — Data Destruction (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)

IOC

Malware / Outils

  • Lotus Wiper (other)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ zetter-zeroday.com — source non référencée (0pts)
  • ✅ 13224 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.zetter-zeroday.com/hwiper-targeting-venezuelas-state-oil-company-discovered/