Se dice que el grupo de piratería estatal ruso conocido como Sandworm estuvo detrás de lo que se describió como el «mayor ciberataque» dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025.
El Ministro de Energía del país, Milos Motyka, dijo la semana pasada que el ataque había fracasado.
«El Comando del Ciberespacio ha diagnosticado los últimos días de este año como el ataque más poderoso a la infraestructura energética en años», dijo Motyka.
Según un nuevo informe de ESET, el ataque fue obra de Sandworm, que implementó un malware de limpieza previamente indocumentado con nombre en código DynoWiper. La asociación con Sandworm se basa en la superposición con actividades de limpieza anteriores relacionadas con el enemigo, particularmente después de la invasión militar rusa de Ucrania en febrero de 2022.
Una empresa eslovaca de ciberseguridad que identificó el limpiador como parte de un ataque devastador dirigido al sector energético de Polonia el 29 de diciembre de 2025, dijo que no había evidencia de una destrucción exitosa.
Según el gobierno polaco, los ataques del 29 y 30 de diciembre de 2025 tuvieron como objetivo dos plantas y sistemas combinados de calor y energía (CHP) que permiten la gestión de la electricidad generada a partir de fuentes de energía renovables, como turbinas eólicas y plantas de energía solar.
«Todo muestra que estos ataques fueron preparados por grupos con vínculos directos con los servicios rusos», dijo el primer ministro Donald Tusk, y agregó que el gobierno estaba preparando salvaguardias adicionales, incluida una importante legislación de ciberseguridad que impone requisitos estrictos sobre la gestión de riesgos, la protección de los sistemas de tecnología de la información (TI) y tecnología operativa (OT), y la respuesta a incidentes.
En particular, esta actividad ocurrió en el décimo aniversario del ataque Sandworm a la red eléctrica de Ucrania en diciembre de 2015. El ataque implementó el malware BlackEnergy y sumió en la oscuridad partes de la región ucraniana de Ivano-Frankivsk.
Este caballo de Troya se utilizó para plantar un malware de limpieza llamado KillDisk, lo que provocó un corte de energía para aproximadamente 230.000 personas durante 4 a 6 horas.
«Sandworm tiene una larga historia de ciberataques destructivos, particularmente contra infraestructura crítica en Ucrania», dijo ESET. «Diez años después, los gusanos de arena siguen apuntando a empresas que operan en una variedad de sectores de infraestructura críticos».
En junio de 2025, Cisco Talos anunció que entidades de infraestructura crítica en Ucrania fueron atacadas por un malware de limpieza de datos nunca antes visto llamado PathWiper, que tiene cierta superposición funcional con HermeticWiper de Sandworm.
También se observó que el grupo de piratas informáticos ruso implementaba malware de borrado de datos como ZEROLOT y Sting en redes universitarias ucranianas y, posteriormente, proporcionó múltiples variantes de malware de borrado de datos a organizaciones ucranianas que operan en los sectores gubernamental, energético, logístico y de cereales de junio a septiembre de 2025.
Source link
