CERT Polska, el equipo polaco de respuesta a emergencias informáticas, reveló que los ciberataques coordinados se dirigieron a más de 30 parques eólicos y fotovoltaicos, una empresa privada del sector manufacturero y una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.
El incidente tuvo oportunidad el 29 de diciembre de 2025. La agencia atribuyó los ataques a un congregación de amenazas denominado Static Tundra, que todavía se rastrea como Berserk Bear, Blue Kraken, Crouching Abominable hombre de las nieves, Dragonfly, Energetic Bear, Ghost Blizzard (anteriormente Bromine) y Havex. Se considera que Static Tundra está vinculada a la mecanismo Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia.
Vale la pena señalar que informes recientes de ESET y Dragos atribuyeron la actividad con moderada confianza a otro congregación de piratería patrocinado por el estado ruso conocido como Sandworm.
“Todos los ataques tenían un objetivo puramente destructivo”, afirmó CERT Polska en un mensaje publicado el viernes. “Aunque los ataques a granjas de energía renovable interrumpieron la comunicación entre estas instalaciones y el cirujano del sistema de distribución, no afectaron la producción en curso de electricidad. Del mismo modo, el ataque a la planta combinada de calor y energía no logró el intención pretendido por el atacante de interrumpir el suministro de calor a los usuarios finales”.
Se dice que los atacantes obtuvieron entrada a la red interna de subestaciones eléctricas asociadas con una instalación de energía renovable para aguantar a mango actividades de inspección y disruptivas, incluido dañar el firmware de los controladores, eliminar archivos del sistema o exhalar un malware de virginidad personalizado con el nombre en código DynoWiper de ESET.
En la intrusión dirigida al CHP, el adversario participó en un robo de datos a liberal plazo que se remonta a marzo de 2025, lo que les permitió progresar privilegios y moverse lateralmente a través de la red. Los intentos de los atacantes de detonar el malware detergente no tuvieron éxito, señaló CERT Polska.
Por otro costado, se cree que apuntar a la empresa del sector manufacturero es oportunista, ya que el actor de la amenaza obtiene entrada auténtico a través de un dispositivo perimetral pusilánime de Fortinet. Es probable que el ataque dirigido al punto de conexión a la red todavía haya implicado la explotación de un dispositivo FortiGate pusilánime.
Hasta la momento se han descubierto al menos cuatro versiones diferentes de DynoWiper. Estas variantes se implementaron en las computadoras Mikronika HMI utilizadas por la instalación de energía y en una red compartida adentro del CHP a posteriori de afirmar el entrada a través del servicio de portal SSL-VPN de un dispositivo FortiGate.
“El atacante obtuvo entrada a la infraestructura utilizando múltiples cuentas que estaban definidas estáticamente en la configuración del dispositivo y no tenían habilitada la autenticación de dos factores”, dijo CERT Polska, detallando el modus operandi del actor dirigido al CHP. “El atacante se conectó mediante nodos Tor, así como direcciones IP polacas y extranjeras, que a menudo estaban asociadas con la infraestructura comprometida”.
La funcionalidad del detergente es suficiente sencilla:
- Inicialización que implica sembrar un procreador de números pseudoaleatorios (PRNG) llamado Mersenne Twister
- Enumerar archivos y corromperlos usando el PRNG
- Eliminar archivos
Vale la pena mencionar aquí que el malware no tiene un mecanismo de persistencia, una forma de comunicarse con un servidor de comando y control (C2) o ejecutar comandos de shell. Siquiera intenta ocultar la actividad a los programas de seguridad.
CERT Polska dijo que el ataque dirigido a la empresa del sector manufacturero implicó el uso de un detergente basado en PowerShell denominado LazyWiper que sobrescribe archivos en el sistema con secuencias pseudoaleatorias de 32 bytes para hacerlos irrecuperables. Se sospecha que la funcionalidad principal de virginidad se desarrolló utilizando un maniquí de jerga prócer (LLM).
“El malware utilizado en el incidente relacionado con las granjas de energía renovable se ejecutó directamente en la máquina HMI”, señaló CERT Polska. “Por el contrario, en la planta de cogeneración (DynoWiper) y en la empresa del sector manufacturero (LazyWiper), el malware se distribuía adentro del dominio Active Directory a través de un script PowerShell ejecutado en un regulador de dominio”.
La agencia todavía describió algunas de las similitudes a nivel de código entre DynoWiper y otros limpiaparabrisas construidos por Sandworm como de naturaleza “común” y no ofrece ninguna evidencia concreta sobre si el actor de la amenaza participó en el ataque.
“El atacante utilizó credenciales obtenidas del entorno circunscrito en un intento de obtener entrada a los servicios en la nubarrón”, dijo CERT Polska. “Posteriormente de identificar las credenciales para las cuales existían las cuentas correspondientes en el servicio M365, el atacante descargó datos seleccionados de servicios como Exchange, Teams y SharePoint”.
“El atacante estaba particularmente interesado en archivos y mensajes de correo electrónico relacionados con la modernización de la red OT, los sistemas SCADA y el trabajo técnico realizado adentro de las organizaciones”.
