CERT Polska, el equipo de respuesta a emergencias informáticas de Polonia, ha descubierto un ciberataque coordinado dirigido a más de 30 plantas de energía eólica y solar, empresas privadas de la industria manufacturera y grandes plantas combinadas de calor y energía (CHP) que proporcionan calor a casi 500.000 clientes en el país.
Este incidente ocurrió el 29 de diciembre de 2025. Las agencias gubernamentales creen que este ataque se debe a un grupo de amenazas conocido como Static Tundra. Este grupo también se rastrea como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (anteriormente Bromine) y Havex. Se considera que Static Tundra está asociada con la unidad Centro 16 del Servicio Federal de Seguridad de Rusia (FSB).
Vale la pena señalar que informes recientes de ESET y Dragos atribuyen esta actividad con moderada confianza a otro grupo de piratería patrocinado por el estado ruso conocido como Sandworm.
«Todos los ataques tenían un propósito puramente destructivo», afirmó CERT Polska en un informe publicado el viernes. «El ataque a las plantas de energía renovable interrumpió las comunicaciones entre estas instalaciones y los operadores del sistema de distribución, pero no afectó la generación continua de energía. De manera similar, los ataques a las plantas combinadas de calor y energía no lograron el efecto pretendido por los atacantes de cortar el suministro de calor a los usuarios finales».
Los atacantes supuestamente obtuvieron acceso a las redes internas de las subestaciones asociadas con instalaciones de energía renovable y llevaron a cabo actividades de reconocimiento y sabotaje, incluido dañar el firmware del controlador, eliminar archivos del sistema y lanzar un malware de limpieza personalizado desarrollado por ESET y con el nombre en código DynoWiper.
En la intrusión dirigida a CHP, los atacantes llevaron a cabo un largo robo de datos que se remonta a marzo de 2025, lo que les permitió escalar privilegios y moverse lateralmente a través de la red. CERT Polska señaló que el intento del atacante de detonar el malware de limpieza fracasó.
Por otro lado, apuntar a empresas manufactureras se considera oportunista, ya que los atacantes obtienen acceso inicial a través de dispositivos perimetrales vulnerables de Fortinet. Los ataques dirigidos a puntos de conexión a la red también pueden haber incluido la explotación de dispositivos FortiGate vulnerables.
Hasta la fecha se han descubierto al menos cuatro versiones diferentes de DynoWiper. Estas variantes se implementaron en recursos compartidos de red dentro de las computadoras Mikronika HMI y CHP utilizados en instalaciones de energía después de asegurar el acceso a través del servicio de portal SSL-VPN en dispositivos FortiGate.
«Los atacantes obtuvieron acceso a la infraestructura utilizando múltiples cuentas que estaban definidas estáticamente en la configuración del dispositivo y no tenían habilitada la autenticación de dos factores», dijo CERT Polska, detallando el modus operandi de los atacantes que apuntaban a CHP. «Los atacantes se conectaron utilizando nodos Tor, así como direcciones IP polacas y extranjeras asociadas con la infraestructura comprometida».
La función del limpiaparabrisas es muy sencilla:
Inicializa un generador de números pseudoaleatorios (PRNG) llamado Mersenne Twister Enumera archivos y utiliza PRNG para corromper archivos Elimina archivos
Vale la pena mencionar aquí que el malware no tiene ningún mecanismo de persistencia, ni forma de comunicarse con un servidor de comando y control (C2), ni una forma de ejecutar comandos de shell. Tampoco intenta ocultar su actividad a los programas de seguridad.
Según CERT Polska, los ataques dirigidos a empresas manufactureras utilizan un limpiador basado en PowerShell llamado LazyWiper, que utiliza un script para sobrescribir archivos en el sistema con secuencias pseudoaleatorias de 32 bytes, haciéndolos irrecuperables. Se sospecha que la función de eliminación central se desarrolló utilizando modelos de lenguaje a gran escala (LLM).
«El malware utilizado en el incidente que involucró a plantas de energía renovable se ejecutó directamente en la máquina HMI», señaló CERT Polska. «Por el contrario, en una fábrica de CHP (DynoWiper) y una empresa del sector manufacturero (LazyWiper), el malware se distribuyó dentro de dominios de Active Directory a través de scripts de PowerShell ejecutados en controladores de dominio».
La agencia también describió algunas de las similitudes a nivel de código entre DynoWiper y otros limpiadores construidos por Sandworm como de naturaleza «general» y no proporcionó evidencia concreta sobre si los actores de amenazas participaron en el ataque.
«El atacante intentó acceder a los servicios en la nube utilizando credenciales obtenidas de un entorno local», dijo CERT Polska. «Después de identificar las credenciales de cuenta correspondientes presentes en el servicio M365, los atacantes descargaron datos seleccionados de servicios como Exchange, Teams y SharePoint».
«Los atacantes estaban particularmente interesados en archivos y mensajes de correo electrónico relacionados con la modernización de la red OT, los sistemas SCADA y el trabajo técnico realizado dentro de la organización».
Source link
