Investigadores de ciberseguridad han descubierto un limpiador de datos previamente indocumentado que se utilizó en ataques dirigidos a Venezuela a finales del año pasado y principios de 2026.
Apodado Limpiador de lotoel novedoso limpiador de archivos se ha utilizado en una campaña destructiva dirigida al sector energético y de servicios públicos en Venezuela, según los hallazgos de Kaspersky.
“Dos secuencias de comandos por lotes son responsables de iniciar la fase destructiva del ataque y preparar el entorno para ejecutar la carga útil final”, dijo el proveedor ruso de ciberseguridad. “Estos scripts coordinan el inicio de la operación en toda la red, debilitan las defensas del sistema e interrumpen las operaciones normales antes de recuperar, desofuscar y ejecutar un limpiador previamente desconocido”.
Una vez implementado, el limpiador borra los mecanismos de recuperación, sobrescribe el contenido de las unidades físicas y elimina sistemáticamente archivos en los volúmenes afectados, dejando efectivamente el sistema en un estado inoperable.
No hay instrucciones de extorsión o pago incorporadas en el artefacto, lo que indica que la actividad agresiva del limpiador no está motivada por una ganancia financiera. Vale la pena señalar que el limpiaparabrisas se subió a una plataforma disponible públicamente a mediados de diciembre de 2025 desde una máquina en Venezuela, semanas antes de la acción militar estadounidense en el país a principios de enero de 2026. La muestra se compiló a finales de septiembre de 2025.
Actualmente no se sabe si estos dos eventos están relacionados, pero Kaspersky señaló que la muestra fue cargada “durante un período de aumento de informes públicos de actividad de malware dirigido al mismo sector y región”, lo que sugiere que el ataque de limpieza es de naturaleza extremadamente específica.
La cadena de ataque comienza con un script por lotes que desencadena una secuencia de varias etapas responsable de eliminar la carga útil del limpiador. Específicamente, intenta detener el servicio de detección de servicios interactivos de Windows (UI0Detect), que se utiliza para alertar a los usuarios cuando un servicio en segundo plano que se ejecuta en la sesión 0 intenta mostrar una interfaz gráfica o un cuadro de diálogo interactivo.
UI0Detect se ha eliminado de las versiones modernas de Windows. La presencia de dicha configuración indica que el script por lotes está diseñado para funcionar en máquinas que ejecutan versiones anteriores a Windows 10 versión 1803, que eliminó la función.
Luego, el script busca un recurso compartido NETLOGON y accede a un archivo XML remoto, después de lo cual verifica la presencia de un archivo correspondiente con el mismo nombre en un directorio local definido previamente (“C:lotus” o “%SystemDrive%lotus”). Independientemente de si dicho archivo local existe, procede a ejecutar un segundo script por lotes.
“Lo más probable es que la verificación local intente determinar si la máquina es parte de un dominio de Active Directory”, dijo Kaspersky. “Si no se encuentra el archivo remoto, el script se cierra. En los casos en los que inicialmente no se puede acceder al recurso compartido NETLOGON, el script introduce un retraso aleatorio de hasta 20 minutos antes de volver a intentar la verificación remota”.
El segundo script por lotes, si aún no se ha ejecutado, enumera las cuentas de usuarios locales, desactiva los inicios de sesión en caché, cierra sesiones activas, desactiva las interfaces de red y ejecuta el comando “diskpart clean all” para borrar todas las unidades lógicas identificadas en el sistema.
También refleja carpetas de forma recursiva para sobrescribir contenidos existentes o eliminarlos usando la utilidad de línea de comandos robocopy, calcula el espacio libre disponible y utiliza fsutil para crear un archivo que llena todo el disco para agotar la capacidad de almacenamiento y perjudicar la recuperación.
Una vez que el entorno comprometido está preparado para la actividad destructiva, se inicia Lotus Wiper para eliminar puntos de restauración, sobrescribir sectores físicos escribiendo todo ceros, borrar los números de secuencia de actualización (USN) de los diarios de los volúmenes y borrar todos los archivos del sistema para cada volumen montado.
Se recomienda a las organizaciones y organizaciones gubernamentales que supervisen los cambios en el recurso compartido de NETLOGON, el posible volcado de credenciales o la actividad de escalada de privilegios, y el uso de utilidades nativas de Windows como fsutil, robocopy y diskpart para realizar acciones destructivas.
“Dado que los archivos incluían ciertas funcionalidades dirigidas a versiones anteriores del sistema operativo Windows, los atacantes probablemente tenían conocimiento del entorno y comprometieron el dominio mucho antes de que ocurriera el ataque”, dijo Kaspersky.
