Pesquisadores identificaram uma campanha destrutiva voltada ao setor de energia e utilidades da Venezuela, marcada pelo uso de um novo limpador de disco batizado de Lotus Wiper.
A análise indica que os artefatos da operação foram encontrados em um recurso publicamente acessível e estavam associados a um ataque preparado com antecedência contra o ambiente alvo.
Diferentemente de operações focadas em extorsão, o objetivo aqui é a destruição de dados e a interrupção operacional.
Segundo a Kaspersky, o encadeamento observado foi desenhado para enfraquecer defesas, desorganizar o funcionamento dos sistemas e só então recuperar, deofuscar e executar o payload final de limpeza.
Dois scripts em lote tiveram papel central na etapa destrutiva. Eles seriam responsáveis por coordenar o início da operação na rede, preparar o ambiente e acionar o wiper propriamente dito, o que sugere planejamento para atingir múltiplas máquinas de forma sincronizada e com impacto ampliado.
Os pesquisadores afirmam que certos recursos presentes nos arquivos indicam conhecimento prévio do ambiente comprometido, inclusive com funções voltadas a versões antigas do Windows. Essa característica sustenta a avaliação de que os operadores já estavam no domínio muito antes da fase de sabotagem, em um movimento compatível com intrusão prolongada e reconhecimento interno.
A própria linha do tempo reforça essa leitura. A Kaspersky aponta que o Lotus Wiper teria sido compilado no fim de setembro de 2025, enquanto a amostra analisada foi enviada ao recurso público em meados de dezembro daquele ano.
Isso sugere meses de preparação antes do uso observado contra infraestrutura crítica venezuelana.
