2026-06-07 23:21:59 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： LotusWiper是一种针对委内瑞拉能源部门的新型破坏性恶意软件，通过批处理脚本禁用系统防御、擦除数据并破坏恢复机制，其攻击时间与2026年美国军事干预高度重合。技术分析显示攻击采用LivingofftheLand策略，利用系统原生工具实现隐蔽破坏。报告指出关键基础设施需加强OT/IT融合防护、推进国产化替代并培养复合型安全人才。 综合评分： 85 文章分类： 恶意软件,漏洞分析,威胁情报,安全建设,应急响应

cover_image

莲花Wiper：委内瑞拉能源领域遭遇的新型破坏性恶意软件，美国干预前的网络幽灵

安全牛

2026年5月18日 11:55

在小说阅读器读本章

去阅读

点击蓝字关注我们

今天我们将深入剖析一起发生在2025年底至2026年初的重大网络安全事件——Lotus Wiper（莲花Wiper）恶意软件针对委内瑞拉能源及公用事业部门的定向攻击。这一事件不仅在技术层面展现出高度精密性，更与当时加勒比地区的地缘政治紧张局势深度交织，尤其恰逢美国2026年1月初对委内瑞拉实施军事干预、捕获马杜罗总统的关键节点。

本文将基于卡巴斯基（Kaspersky）的安全报告及多家权威媒体的披露，全面拆解该攻击的完整链条、核心技术细节、背景成因、潜在影响，以及其对全球关键基础设施安全带来的深刻启示。全文力求详尽精准，助力读者理解现代混合战争中，网络手段如何成为一柄“无声的利剑”，深刻影响地缘格局与行业安全。

一、事件概述：一场旨在彻底摧毁的Wiper攻击

2026年4月，俄罗斯网络安全巨头卡巴斯基（Kaspersky）发布专项报告，披露了一款新型破坏性恶意软件——Lotus Wiper（莲花Wiper）。该恶意软件被定向用于攻击委内瑞拉能源及公用事业部门，攻击者以两个批处理脚本（BAT）作为攻击初始环节，逐步削弱系统防御能力、破坏设备正常运营，最终部署核心有效载荷Lotus Wiper，完成破坏性攻击。

与勒索软件存在本质区别，Lotus Wiper未留下任何索要赎金的痕迹，其唯一目标便是彻底擦除系统数据、覆盖存储驱动器、删除各类恢复机制，使受感染系统陷入不可恢复的瘫痪状态。这一特征表明，此次攻击的动机极具破坏性，而非经济性，与国家支持型网络行动或地缘冲突中的“前置准备性打击”高度契合。

该恶意软件样本的编译时间约为2025年9月底，同年12月中旬从委内瑞拉境内的一台受感染机器上传至公共平台。这一时间节点，恰好处于委内瑞拉能源部门频繁遭受各类网络活动干扰的时期，且紧邻2026年1月3日美国对委内瑞拉发起的军事行动。

卡巴斯基在报告中明确指出，此次攻击“具有极强的针对性”，攻击脚本中甚至硬编码了目标组织的名称，其中包含与委内瑞拉国有石油公司（PDVSA）相关的关键线索。

为何将其命名为“Lotus Wiper”？核心原因在于，攻击者所使用的可执行文件，均伪装成HCL Domino（原Lotus Domino）应用开发的组件，例如nstats.exe、nevent.exe、ndesign.exe等。这种伪装策略，旨在适配能源行业普遍存在的遗留IT环境，最大限度降低被安全检测工具发现的概率，实现隐蔽攻击。

二、技术细节深度拆解：从批处理脚本到最终Wiper

此次攻击的完整链条高度依赖“Living off the Land（LotL）”技术，即大量借助系统原生工具开展攻击，避免引入明显的恶意二进制文件，从而大幅提升攻击的隐蔽性，降低被检测和拦截的风险。

1. 第一阶段：OhSyncNow.bat——触发器与环境准备

禁用UI0Detect服务：尝试终止Interactive Services Detection服务，避免后台恶意活动弹出可见警告窗口。该服务主要存在于较早期的Windows系统版本（Windows 10 1803版本之前），这一操作暗示攻击者对目标环境的遗留系统特性有着充分了解。
网络触发机制：检查NETLOGON共享目录下的特定XML文件（OHSync.xml），该文件路径中硬编码了受害组织的名称。只有当该远程文件存在时，攻击脚本才会继续执行。这是一种经典的域环境同步触发方式，能够确保攻击在整个域内协调一致地启动，扩大攻击覆盖面。
随机延迟策略：若NETLOGON共享目录无法访问，脚本会随机等待最长20分钟后重新尝试连接，通过模拟正常网络延迟，进一步提升攻击的隐蔽性，规避安全检测。

当上述所有条件均满足时，脚本将自动执行第二个批处理脚本notesreg.bat，进入攻击的下一阶段。

2. 第二阶段：notesreg.bat——全面瘫痪系统防御

该脚本是整个攻击过程中破坏准备的核心环节，主要执行以下操作，全面瓦解目标系统的防御能力：

检查执行标记：通过另一个XML文件判断自身是否已执行，避免重复操作留下异常痕迹，确保攻击流程的规范性。
用户账户操纵：枚举本地所有用户账户（排除特定IT部门账户），将其密码修改为随机字符串，并设置为非活动状态，剥夺合法用户的系统访问权限。具体操作通过类似“net user %%a %randomPassword% /times:friday,01:00-02:00 /active:no”的命令实现。
禁用缓存登录：修改系统注册表中的CachedLogonsCount值为0，禁止用户离线登录，进一步切断系统的应急访问通道。
注销活动会话：通过qwinsta和logoff命令，强制登出所有当前活跃的用户会话，中断正常的系统操作流程。
禁用网络接口：借助netsh命令禁用系统所有网络适配器，彻底切断受感染设备与外部的通信连接，防止受害者发出告警信息，同时阻止外部救援和数据恢复操作。
磁盘清理与覆盖：枚举系统所有逻辑驱动器，通过diskpart的clean all命令对磁盘卷进行全零覆盖擦除，彻底破坏数据存储结构。
文件夹镜像覆盖：使用robocopy /MIR命令，将空文件夹或恶意文件夹递归镜像至目标文件夹，实现对现有内容的覆盖与删除，进一步销毁关键数据。
耗尽存储空间：计算磁盘剩余存储空间，通过fsutil命令创建大型文件，直至填满整个磁盘，阻止系统正常运行及应急操作的开展。
准备最终载荷：将Windows系统原生命令行工具复制至工作目录，执行nstats.exe（附带参数nevent.exe和ndesign.exe），由后者负责解密并运行真正的Lotus Wiper恶意软件，启动最终破坏环节。

上述一系列操作充分表明，攻击者早已获取目标系统的域管理员级权限，并提前完成文件植入，此次攻击属于长期潜伏后的“激活阶段”，展现出高度的计划性和针对性。

3. 最终载荷：Lotus Wiper的破坏力

Lotus Wiper恶意软件具备极强的破坏性，其核心操作包括以下几个方面，最终实现对系统的彻底摧毁：

启用当前令牌的所有特权，获取系统最高操作权限，为后续破坏操作奠定基础。
删除系统还原点：动态加载srclient.dll文件，通过调用SRSetRestorePoint和SRRemoveRestorePoint API接口，逐一移除系统所有还原点，切断系统的应急恢复通道。
物理驱动器擦除：向系统每个物理驱动器的扇区写入全零数据，彻底覆盖原有数据，从物理层面破坏数据的可恢复性。
清除USN日志：清除磁盘卷的更新序列号（USN）日志，破坏攻击行为的取证痕迹，增加安全人员追溯攻击源头、分析攻击过程的难度。
系统文件删除：对所有磁盘卷进行全面扫描，系统性删除系统核心文件及各类应用文件，彻底瓦解系统运行基础。

最终造成的结果是：受感染系统无法正常启动，所有数据不可恢复，各类恢复机制全部失效。这种破坏方式比多数勒索软件的“加密锁定”更具毁灭性——勒索软件尚有解密密钥可恢复数据，而Lotus Wiper的攻击属于纯物理与逻辑层面的彻底抹除，不存在任何数据恢复的可能。

三、地缘政治背景：网络战与实体干预的交织

2025年底至2026年初，委内瑞拉国内局势陷入高度紧张。美国长期以来持续对马杜罗政权施加压力，指控其涉及贩毒、腐败及选举舞弊等行为。2026年1月3日，美国正式发动军事行动，捕获马杜罗夫妇并将二人带至美国接受指控，同时宣布将“暂时接管”委内瑞拉事务，直至完成石油基础设施重建及政权有序过渡。

Lotus Wiper恶意软件的部署时间，与委内瑞拉国家石油公司（PDVSA）遭受的网络干扰高度重合。此前，PDVSA曾公开指责美国发起网络攻击，导致其石油装载作业陷入停滞。结合时间线与事件关联性可以推断，此次网络攻击很可能作为美国军事行动的“前置铺垫”，用于瘫痪委内瑞拉能源基础设施、削弱其防空能力，或制造社会混乱（相关报道提及，此次攻击曾导致委内瑞拉出现电力中断、雷达失效等情况），为后续实体军事干预创造有利条件。

这并非国家支持型Wiper攻击首次应用于地缘冲突。历史上，此类攻击多次被用于冲突前置，成为混合战争的重要手段：

Shamoon恶意软件（2012年，针对沙特阿美石油公司）：成功擦除数万台企业电脑数据，导致沙特阿美正常运营陷入瘫痪。
NotPetya恶意软件（2017年，针对乌克兰）：伪装成勒索软件，实际造成全球范围内的大规模系统破坏，本质上是地缘冲突的延伸。
此外，伊朗针对沙特、俄罗斯针对乌克兰的网络行动中，也多次出现类似的破坏性Wiper攻击。

Lotus Wiper事件充分体现了“混合战争”的全新范式：网络攻击具备低成本、高隐蔽、可否认的特点，能够在不直接引发实体冲突的前提下，实现战略目标，同时为后续动能军事行动创造有利条件，成为地缘博弈中的重要工具。

四、对能源关键基础设施的警示

能源领域是典型的OT/IT融合环境，普遍存在遗留系统数量多、安全补丁更新滞后、供应链结构复杂等问题。Lotus Wiper攻击的发生，暴露了全球能源关键基础设施在网络安全防护方面的诸多薄弱环节，具体包括：

域环境脆弱性突出：NETLOGON共享目录、批处理脚本执行权限等易被攻击者滥用，成为攻击突破的重要入口。
LotL技术滥用风险：PowerShell、netsh、robocopy、diskpart等系统原生命令工具被武器化，攻击者借助这些工具开展隐蔽攻击，难以被传统安全检测手段发现。
恢复机制缺失：多数能源企业在攻击发生前未有效隔离数据备份，部分备份甚至被攻击者针对性破坏，导致攻击后无法实现数据恢复与系统重建。
遗留Windows系统隐患：大量老旧Windows系统仍在能源领域服役，其自带的部分服务（如UI0Detect）成为攻击的薄弱环节，为攻击者提供可乘之机。

从全球范围来看，类似的破坏性网络攻击并非个例，未来可能针对任何依赖能源的国家和地区。

五、更广泛的网络安全启示

Lotus Wiper事件再次印证：在数字化时代，网络空间已成为地缘博弈的重要战场。国家行为体越来越倾向于在“灰色地带”开展网络行动，选择Wiper恶意软件这类破坏性工具，而非传统间谍软件，其核心目标已从单纯的信息窃取，转向实现战略层面的系统瘫痪，进而影响地缘格局。

这一事件对中国网络安全从业者也带来了深刻启示：

《关键信息基础设施保护法》的落地实施需更注重实战化，结合行业实际场景，完善防护标准与实施细则，提升关键基础设施的安全防护水平。
能源、电力、水利等关键行业应加快推进核心技术国产化替代，推动系统安全可控转型，减少对国外软硬件的依赖，从源头降低安全风险。
培养复合型网络安全人才：打造既精通OT安全技术，又具备地缘政治风险评估能力的专业人才队伍，适配混合战争背景下的安全防护需求。
加强国际合作：尽管地缘政治分歧存在，但在高级持续性威胁（APT）防御、网络威胁情报共享等领域，仍存在广泛合作空间，需积极推动国际协同，共同应对全球性网络安全挑战。

同时我们也应看到攻击者的局限性：Lotus Wiper的攻击效果高度依赖对目标环境的提前访问和特定系统配置，并非适用于所有目标场景。防御端只要提升网络安全可见性，加快应急响应速度，完善多层防护体系，就能大幅降低此类攻击的成功率，有效防范破坏性网络威胁。

结语：警惕“沉默的破坏者”

Lotus Wiper事件是2025-2026年委内瑞拉危机的一个缩影，它深刻提醒我们：网络攻击已不再是“可能发生”的潜在风险，而是地缘冲突中常态化的作战选项。能源领域作为现代社会的经济命脉，其网络安全直接关系到国家稳定、民生保障与经济发展，容不得丝毫懈怠。

相关阅读

断网亦难防！伊朗指控美国借后门瘫痪核心网络设备，全球供应链安全拉响红色警报

网络暗战，国之防线 —— 委内瑞拉马杜罗事件安全警示录 | 安全牛观察

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛《莲花Wiper：委内瑞拉能源领域遭遇的新型破坏性恶意软件，美国干预前的网络幽灵》