Ende 2025 wurde die polnische Energieversorgung mit dem "größten Cyberangriff" konfrontiert, den das Land seit Jahren erlebt hat. ESET Forscher haben nun herausgefunden, dass der Angriff das Werk der berüchtigten, mit Russland verbundenen APT-Gruppe Sandworm war.

"Basierend auf unserer Analyse der Malware und der zugehörigen TTPs schreiben wir den Angriff mit mittlerer Sicherheit der mit Russland verbündeten APT Sandworm zu, da es starke Überschneidungen mit zahlreichen früheren Wiper-Aktivitäten von Sandworm gibt", so die ESET-Forscher. "Uns ist nicht bekannt, dass dieser Angriff zu einer erfolgreichen Störung geführt hat.

Screenshot 2026-01-23 200943
Quelle: ESET

Sandworm weist eine lange Geschichte von Cyberangriffen vor, insbesondere auf kritische Infrastrukturen in der Ukraine. Bei dem Angriff auf das polnische Stromnetz in der letzten Dezemberwoche wurde eine Schadsoftware zur Datenlöschung eingesetzt, die ESET nun analysiert und DynoWiper genannt hat. Die Sicherheitslösungen von ESET erkennen DynoWiper als Win32/KillFiles.NMO.

Details zu den beabsichtigten Auswirkungen werden  noch untersucht. Bemerkenswert ist allerdings der Zeitpunkt des Angriffs: Er fand am 10. Jahrestag des von Sandworm orchestrierten Angriffs auf das ukrainische Stromnetz statt. Dabei handelte es sich um den ersten Stromausfall, den eine Schadsoftware verursacht hatte. Im Dezember 2015 nutzte Sandworm die BlackEnergy-Malware, um sich Zugang zu kritischen Systemen in mehreren Umspannwerken zu verschaffen, was dazu führte, dass rund 230.000 Menschen für mehrere Stunden ohne Strom waren.

Seitdem ist ein Jahrzehnt vergangen und Sandworm hat es weiterhin auf Unternehmen abgesehen, die in verschiedenen kritischen Infrastrukturbereichen tätig sind, insbesondere in der Ukraine. In ihrem jüngsten APT Activity Report, der den Zeitraum von April bis September 2025 abdeckt, stellten die ESET Forscher fest, dass Sandworm regelmäßig Wiper-Angriffe gegen Ziele in der Ukraine durchführt.

Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Untersuchungen haben, kontaktieren Sie uns bitte unter threatintel@eset.com
ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

IoCs

SHA-1 Detection Description
4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6 Win32/KillFiles.NMO DynoWiper.