Depuis la capture de Nicolás Maduro par les États-Unis au tout début de l’année 2026, une question centrale agite diplomates et experts en géopolitique : que va devenir le Venezuela ?
Alors que règne le flou sur l’avenir politique du pays, chaque bribe d’information vaut de l’or, et les cyberespions chinois l’ont bien compris.
Quelques jours à peine après l’intervention militaire américaine à Caracas, une vaste campagne de phishing a visé des agences gouvernementales américaines, en misant précisément sur cet appétit d’informations.
Au cœur de cette offensive, un fichier ZIP intitulé « US now deciding what’s next for Venezuela », comprenez « Les États-Unis décident désormais de la suite pour le Venezuela », censé contenir des détails exclusifs sur le plan évoqué par Donald Trump, qui a assuré que la Maison Blanche dirigerait la transition politique du pays.
Les dessous techniques de l’affaire
Sur le plan technique, ce fameux fichier ZIP piégé contenait à la fois un programme légitime et, bien cachée à l’intérieur, une backdoor basée sur une DLL, baptisée Lotuslite.
Pour rappel, une DLL (bibliothèque de liens dynamiques) est un fichier qui contient du code réutilisable chargé par un programme, ce qui en fait un support discret idéal pour cacher des fonctions malveillantes.
Dans l’archive se trouve un fichier au nom accrocheur : Maduro to be taken to New York.exe qui joue un double jeu.
Le programme lance un service de streaming musical, simplement renommé pour paraître légitime et pertinent pour la cible. Puis, les attaquants tirent parti de ce programme de confiance, conçu pour charger des bibliothèques au démarrage, en plaçant à côté de lui une bibliothèque malveillante nommée Kugou.dll.
Lorsque la victime ouvre le fichier, le lanceur s’exécute normalement, mais charge aussi la DLL cachée, qui déclenche en arrière‑plan la porte dérobée Lotuslite sans éveiller les soupçons.
Selon les chercheurs, cette porte dérobée n’a encore jamais été documentée. Cet implant C++ communique avec un serveur de commande et de contrôle dont l’adresse est intégrée directement dans le code, se maintient durablement sur les machines infectées, réalise des actions de repérage et permet aux attaquants de dérober des données dans l’environnement de leurs victimes. Un outil d’espionnage complet, donc.
Un acteur chinois dans le viseur
Des indices techniques ont permis aux enquêteurs d’attribuer cette campagne de phishing, avec une « confiance modérée », à un groupe d’espionnage soutenu par Beijing, connu sous le nom de Mustang Panda (aussi appelé UNC6384 ou Twill Typhoon).
Comme lors de ses précédentes opérations, Mustang Panda a calé sa campagne d’hameçonnage sur l’actualité géopolitique : cette fois, la capture de Nicolás Maduro, après avoir par le passé exploité des leurres liés à des conférences diplomatiques.
Le rapport précise enfin qu’il est impossible, à ce stade, de déterminer si les espions chinois sont effectivement parvenus à compromettre certains des systèmes visés.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !