El grupo de hackers ruso conocido como Sandworm ha sido atribuido a lo que se ha descrito como el «mayor ciberataque» dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025.
El ataque no tuvo éxito, afirmó el ministro de Energía del país, Milosz Motyka. dicho la semana pasada.
«El mando de las fuerzas ciberespaciales ha diagnosticado en los últimos días del año el ataque más fuerte a la infraestructura energética en años», afirmó Motyka.
Según un nuevo informe por ESET, el ataque fue obra de Sandworm, que implementó un malware de limpieza previamente indocumentado con nombre en código DynoWiper. Los vínculos con Sandworm se basan en superposiciones con actividades de limpieza previas asociadas con el adversario, particularmente en el secuelas de La invasión militar de Rusia de Ucrania en febrero de 2022.
La empresa eslovaca de ciberseguridad, que identificó el uso del limpiador como parte del intento de ataque disruptivo dirigido al sector energético polaco el 29 de diciembre de 2025, dijo que no hay evidencia de una interrupción exitosa.
Los ataques del 29 y 30 de diciembre de 2025 tuvieron como objetivo dos plantas combinadas de calor y energía (CHP), así como un sistema que permite la gestión de la electricidad generada a partir de fuentes de energía renovables, como turbinas eólicas y parques fotovoltaicos, dijo el gobierno polaco.
«Todo indica que estos ataques fueron preparados por grupos directamente vinculados a los servicios rusos», afirmó el primer ministro Donald Tusk. dichoy agregó que el gobierno está preparando salvaguardias adicionales, incluida una legislación clave de ciberseguridad que impondrá requisitos estrictos en materia de gestión de riesgos, protección de los sistemas de tecnología de la información (TI) y tecnología operativa (OT), y respuesta a incidentes.
Vale la pena señalar que la actividad ocurrió en el décimo aniversario del ataque de Sandworm contra la red eléctrica ucraniana en diciembre de 2015, que condujo al despliegue del malware BlackEnergy, sumergiendo en la oscuridad partes de la región ucraniana de Ivano-Frankivsk.
El troyano, que se utilizó para instalar un malware de limpieza denominado KillDisk, provocó un corte de energía de 4 a 6 horas para aproximadamente 230.000 personas.
«Sandworm tiene una larga historia de ciberataques disruptivos, especialmente en la infraestructura crítica de Ucrania», dijo ESET. «Una década más tarde, Sandworm continúa apuntando a entidades que operan en diversos sectores de infraestructura crítica».
En junio de 2025, Cisco Talos dijo que una entidad de infraestructura crítica dentro de Ucrania fue atacada por un malware de limpieza de datos nunca antes visto llamado Limpiaparabrisas que comparte cierto nivel de superposición funcional con Sandworm's Limpiaparabrisas hermético.
El grupo de hackers ruso también ha sido observado implementar malware de borrado de datos, como ZEROLOT y Sting, en una red universitaria ucraniana, seguido de servir múltiples variantes de malware de borrado de datos contra entidades ucranianas activas en los sectores gubernamental, energético, logístico y de cereales entre junio y septiembre de 2025.
Fuente