Malware Lotus Wiper Serang Sistem Energi Venezuela dengan Serangan Penghancur

Malware Lotus Wiper telah terdeteksi menyerang sistem kritis di sektor energi Venezuela pada akhir tahun 2025 hingga awal 2026. Penemuan ini diungkap oleh para peneliti keamanan siber dari Kaspersky, yang menjelaskan bahwa serangan ini menggunakan jenis file wiper baru yang belum pernah didokumentasikan sebelumnya.

Serangan Destruktif Lotus Wiper pada Infrastruktur Energi Venezuela

Lotus Wiper merupakan malware penghancur data yang dilengkapi dengan dua skrip batch yang berperan memulai fase destruktif serangan sekaligus mempersiapkan sistem untuk menjalankan payload utama. Menurut Kaspersky, dua skrip tersebut bekerja mengoordinasikan serangan secara jaringan, melemahkan pertahanan sistem, hingga mengganggu operasi normal sebelum menjalankan malware wiper yang belum dikenal.

"Dua skrip batch bertanggung jawab memulai fase destruktif dan menyiapkan lingkungan untuk mengeksekusi payload wiper yang tidak dikenal sebelumnya," ujar Kaspersky.

Setelah dijalankan, Lotus Wiper menghapus mekanisme pemulihan, menimpa isi drive fisik dengan data kosong, dan menghapus file secara sistematis di seluruh volume yang terinfeksi. Akibatnya, sistem yang terkena menjadi tidak dapat beroperasi sama sekali.

Target Sistem Windows Lama dan Serangan yang Terencana

Menariknya, malware ini tidak menyertakan instruksi pemerasan atau tuntutan pembayaran, sehingga dipastikan bukan motivasi finansial yang menjadi tujuan utama. Malware ini pertama kali diunggah ke platform publik pada pertengahan Desember 2025 dari mesin yang berada di Venezuela, beberapa minggu sebelum aksi militer AS di negara tersebut pada awal Januari 2026. Sampel malware tersebut dikompilasi pada akhir September 2025.

Kaspersky menyoroti bahwa unggahan sampel ini terjadi pada periode meningkatnya laporan aktivitas malware yang menargetkan sektor dan wilayah yang sama, mengindikasikan bahwa serangan ini sangat terfokus dan terencana dengan matang.

Detail Teknik Serangan dan Tahapan Eksekusi

Rantai serangan dimulai dari skrip batch pertama yang memicu urutan multi-tahap untuk menurunkan payload wiper. Skrip ini berusaha menghentikan layanan Windows Interactive Services Detection (UI0Detect), yang berfungsi memberi tahu pengguna jika ada layanan latar belakang yang mencoba menampilkan antarmuka interaktif. Layanan ini sudah dihapus pada Windows 10 versi 1803 ke atas, sehingga indikasi ini menunjukkan bahwa skrip dirancang untuk sistem Windows versi lama.

Selanjutnya, skrip memeriksa keberadaan NETLOGON share dan mengakses file XML jarak jauh. Skrip juga melakukan pengecekan file lokal di direktori seperti "C:\lotus" atau "%SystemDrive%\lotus" untuk menentukan apakah mesin tergabung dalam domain Active Directory. Jika file jarak jauh tidak ditemukan, skrip akan keluar, dan jika NETLOGON share tidak bisa dijangkau, skrip akan menunda hingga 20 menit sebelum mencoba kembali.

Skrip batch kedua melakukan enumerasi akun lokal, menonaktifkan login cached, memutus sesi aktif, mematikan interface jaringan, serta menjalankan perintah diskpart clean all untuk menghapus semua drive logis yang terdeteksi. Selain itu, ia menggunakan robocopy untuk menimpa atau menghapus folder secara rekursif, dan memanfaatkan fsutil untuk mengisi ruang kosong drive agar menghambat pemulihan data.

Setelah lingkungan siap, Lotus Wiper meluncurkan serangan utama dengan menghapus titik pemulihan sistem, menimpa sektor fisik dengan nol, menghapus nomor urut pembaruan (USN) pada jurnal volume, dan menghapus semua file sistem pada setiap volume terpasang.

Rekomendasi dan Pencegahan Serangan

Kaspersky menyarankan organisasi dan instansi pemerintah untuk mewaspadai perubahan pada NETLOGON share, aktivitas pencurian kredensial, eskalasi hak istimewa, serta penggunaan utilitas Windows asli seperti fsutil, robocopy, dan diskpart yang digunakan dalam aksi destruktif ini.

"Karena file memiliki fungsi yang menargetkan versi Windows lama, penyerang kemungkinan sudah menguasai domain jauh sebelum serangan terjadi," jelas Kaspersky.

Serangan Lotus Wiper ini menegaskan bahwa targetnya adalah sistem dengan lingkungan yang sudah diketahui secara mendalam, menandakan perencanaan dan penyerangan yang sangat terfokus pada sektor energi Venezuela.

Analisis Redaksi

Menurut pandangan redaksi, serangan Lotus Wiper bukan sekadar serangan malware biasa, melainkan sebuah cyber sabotage bertujuan melumpuhkan infrastruktur kritis secara permanen. Fokus pada sistem Windows versi lama menandakan bahwa pelaku telah melakukan pengintaian jangka panjang dan memilih target dengan kelemahan spesifik yang bisa dieksploitasi secara maksimal.

Efek dari serangan ini sangat berbahaya bagi stabilitas dan keamanan pasokan energi Venezuela, yang berpotensi menimbulkan dampak sosial dan ekonomi luas. Selain itu, absennya unsur pemerasan memperlihatkan motif yang lebih politis atau strategis, bukan keuntungan finansial pribadi.

Ke depan, penting bagi negara-negara dengan infrastruktur kritis agar memperkuat keamanan siber, terutama dengan memperbarui sistem operasi dan meningkatkan deteksi aktivitas mencurigakan dalam domain Active Directory. Kasus ini juga mengingatkan perlunya kolaborasi internasional dalam mengantisipasi dan menanggulangi serangan siber bertarget yang semakin kompleks.

Untuk informasi lebih lengkap dan pembaruan terkini, Anda bisa mengunjungi sumber aslinya di The Hacker News dan mengikuti laporan dari lembaga keamanan siber terpercaya.