El especie de hackers ruso conocido como Sandworm ha sido atribuido a lo que se ha descrito como el “maduro ciberataque” dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025.
El ataque no tuvo éxito, afirmó la semana pasada el ministro de Energía del país, Milosz Motyka.
“El mando de las fuerzas ciberespaciales ha diagnosticado en los últimos días del año el ataque más resistente a la infraestructura energética en abriles”, afirmó Motyka.
Según un nuevo documentación de ESET, el ataque fue obra de Sandworm, que implementó un malware de ablución previamente indocumentado con nombre en código DynoWiper. Los vínculos con Sandworm se basan en superposiciones con actividades de ablución previas asociadas con el adversario, particularmente a posteriori de la invasión marcial rusa de Ucrania en febrero de 2022.
La empresa eslovaca de ciberseguridad, que identificó el uso del detergente como parte del intento de ataque disruptivo dirigido al sector energético polaco el 29 de diciembre de 2025, dijo que no hay evidencia de una interrupción exitosa.
Los ataques del 29 y 30 de diciembre de 2025 tuvieron como objetivo dos plantas combinadas de calor y energía (CHP), así como un sistema que permite la papeleo de la electricidad generada a partir de fuentes de energía renovables, como turbinas eólicas y parques fotovoltaicos, dijo el gobierno polaco.
“Todo indica que estos ataques fueron preparados por grupos directamente vinculados a los servicios rusos”, dijo el primer ministro Donald Tusk, añadiendo que el gobierno está preparando salvaguardias adicionales, incluida una fuero esencia de ciberseguridad que impondrá requisitos estrictos sobre papeleo de riesgos, protección de los sistemas de tecnología de la información (TI) y tecnología operativa (OT), y respuesta a incidentes.
Vale la pena señalar que la actividad ocurrió en el décimo aniversario del ataque de Sandworm contra la red eléctrica ucraniana en diciembre de 2015, que llevó al despliegue del malware BlackEnergy, sumergiendo en la oscuridad partes de la región de Ivano-Frankivsk en Ucrania.
El troyano, que se utilizó para instalar un malware de ablución denominado KillDisk, provocó un corte de energía de 4 a 6 horas para aproximadamente 230.000 personas.
“Sandworm tiene una larga historia de ciberataques disruptivos, especialmente en la infraestructura crítica de Ucrania”, dijo ESET. “Una término más tarde, Sandworm continúa apuntando a entidades que operan en diversos sectores de infraestructura crítica”.
En junio de 2025, Cisco Talos dijo que una entidad de infraestructura crítica internamente de Ucrania fue atacada por un malware de ablución de datos nunca ayer trillado llamado PathWiper que comparte cierto nivel de superposición cómodo con HermeticWiper de Sandworm.
Igualmente se ha observado que el especie de hackers ruso implementa malware de borrado de datos, como ZEROLOT y Sting, en una red universitaria ucraniana, seguido de múltiples variantes de malware de borrado de datos contra entidades ucranianas activas en los sectores oficial, energético, logístico y de cereales entre junio y septiembre de 2025.
