🔍 Contexte

Publié le 21 avril 2026 par Kaspersky GReAT sur Securelist, cet article présente l’analyse technique d’une campagne de destruction de données ciblant le secteur de l’énergie et des utilities au Venezuela, dans un contexte de tensions géopolitiques dans la région des Caraïbes fin 2025 / début 2026. Les artefacts ont été découverts sur une ressource publique en mi-décembre 2025.

🎯 Nature de la menace

La menace est un wiper (et non un ransomware) : aucune demande de rançon ni mécanisme d’extorsion n’a été identifié. L’objectif est la destruction irréversible des données. Le wiper, compilé fin septembre 2025, n’avait jamais été observé auparavant, indiquant une préparation de plusieurs mois.

🔗 Chaîne d’infection

Étape 1 — OhSyncNow.bat :

  • Identifie un répertoire cible (C:\lotus ou %SystemDrive%\lotus)
  • Désactive le service UI0Detect (ciblage de systèmes Windows legacy)
  • Vérifie la présence d’un fichier XML (OHSync.xml) sur un partage NETLOGON comme déclencheur réseau
  • Introduit un délai aléatoire jusqu’à 20 minutes en cas d’échec de connexion
  • Lance notesreg.bat si les conditions sont remplies

Étape 2 — notesreg.bat :

  • Vérifie un marqueur XML pour garantir une exécution unique
  • Énumère et modifie les comptes utilisateurs locaux (changement de mot de passe aléatoire, désactivation)
  • Désactive les connexions en cache (registre CachedLogonsCount = 0)
  • Déconnecte les sessions actives
  • Désactive toutes les interfaces réseau via netsh
  • Exécute diskpart clean all sur tous les volumes logiques
  • Copie des binaires Windows légitimes dans le répertoire malveillant
  • Utilise robocopy /MIR pour écraser les dossiers
  • Remplit le disque avec fsutil file createnew
  • Lance nstats.exe avec nevent.exe et ndesign.exe comme arguments

Étape 3 — Lotus Wiper (ndesign.exe déchiffré) :

  • nstats.exe déchiffre nevent.exe (XOR) vers ndesign.exe
  • Active tous les privilèges du token courant
  • Supprime tous les points de restauration via srclient.dll (SRSetRestorePoint / SRRemoveRestorePoint)
  • Écrase tous les secteurs de chaque disque physique avec des zéros (IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, IOCTL_DISK_UPDATE_PROPERTIES)
  • Efface les journaux USN (FSCTL_SET_ZERO_DATA)
  • Renomme les fichiers avec un nom hexadécimal aléatoire avant suppression (DeleteFileW, MoveFileExW avec flag de suppression au redémarrage)

🧩 Indicateurs de contexte

  • Les scripts ciblent des systèmes Windows legacy (référence à UI0Detect, absent depuis Windows 10 v1803)
  • Le nom de l’organisation cible est hardcodé dans les scripts
  • Les binaires malveillants (nstats.exe, nevent.exe, ndesign.exe) imitent des composants HCL Domino (ex-Lotus Domino)
  • L’accès préalable au domaine est confirmé par la nécessité de pré-déployer les exécutables

🛡️ Détection Kaspersky

Détections : HEUR:Trojan.BAT.Agent.gen, HEUR:Trojan.BAT.LotusWiper.gen, HEUR:Trojan.Win32.LotusWiper.gen. Règles EDR Expert disponibles pour les comportements clés (UI0Detect, netsh, diskpart, robocopy, fsutil, cmd.exe hors chemin standard).

📄 Type d’article

Analyse technique approfondie publiée par Kaspersky GReAT, visant à documenter une nouvelle menace destructrice et à fournir des éléments de détection pour les équipes SOC et CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1485 — Data Destruction (Impact)
  • T1561.001 — Disk Wipe: Disk Content Wipe (Impact)
  • T1561.002 — Disk Wipe: Disk Structure Wipe (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1531 — Account Access Removal (Impact)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1562.007 — Impair Defenses: Disable or Modify Cloud Firewall (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1070.006 — Indicator Removal: Timestomp (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1489 — Service Stop (Impact)
  • T1087.001 — Account Discovery: Local Account (Discovery)
  • T1098 — Account Manipulation (Persistence)

IOC

  • MD5 : 0b83ce69d16f5ecd00f4642deb3c5895VT · MalwareBazaar
  • MD5 : c6d0f67db6a7dbf1f9394d98c1e13670VT · MalwareBazaar
  • MD5 : b41d0cd22d5b3e3bdb795f81421a11cbVT · MalwareBazaar
  • Fichiers : OhSyncNow.bat
  • Fichiers : notesreg.bat
  • Fichiers : OHSync.xml
  • Fichiers : nstats.exe
  • Fichiers : nevent.exe
  • Fichiers : ndesign.exe
  • Fichiers : DiskFillerFile
  • Chemins : C:\lotus
  • Chemins : C:\lotus\cmd.exe

Malware / Outils

  • Lotus Wiper (other)
  • OhSyncNow.bat (other)
  • notesreg.bat (other)
  • nstats.exe (loader)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 19893 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs dont des hashes (15pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 19 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://securelist.com/tr/lotus-wiper/119472/