A finales de 2025, el sistema energético de Polonia enfrentó lo que ha sido descrito como el “mayor ciberataque” contra el país en años. Ahora, ESET Research ha descubierto que el ataque fue obra del notorio grupo APT Sandworm, alineado con Rusia.
“Basándonos en nuestro análisis del malware y de las TTP asociadas, atribuimos el ataque al grupo Sandworm, alineado con Rusia, con un nivel de confianza medio, debido a la fuerte superposición con numerosas actividades previas de wipers de Sandworm que hemos analizado”, señalaron los investigadores de ESET. “No tenemos conocimiento de que se haya producido una interrupción exitosa como resultado de este ataque”, agregaron.
Sandworm tiene un largo historial de ciberataques disruptivos, especialmente contra infraestructura crítica en Ucrania. Mientras tanto, el ataque a la red eléctrica polaca en la última semana de diciembre involucró un malware destructivo (data‑wiping) que ESET ha analizado y al que ha dado el nombre de DynoWiper. Las soluciones de seguridad de ESET detectan DynoWiper como Win32/KillFiles.NMO.
Aunque los detalles sobre el impacto previsto aún se están investigando, los investigadores de ESET destacaron el hecho de que el ataque coordinado ocurrió en el décimo aniversario del ataque orquestado por Sandworm contra la red eléctrica ucraniana, que resultó en el primer apagón facilitado por malware. En diciembre de 2015, Sandworm utilizó el malware BlackEnergy para acceder a sistemas críticos en varias subestaciones eléctricas, dejando a unas 230.000 personas sin electricidad durante varias horas.
Diez años después, Sandworm continúa atacando entidades que operan en diversos sectores de infraestructura crítica, especialmente en Ucrania. En su más reciente APT Activity Report, que cubre de abril a septiembre de 2025, los investigadores de ESET señalaron que detectaron ataques regulares con wipers realizados por Sandworm contra objetivos en Ucrania.
Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, por favor contáctenos en threatintel@eset.com ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence
IoCs
| SHA-1 | Detection | Description |
| 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6 | Win32/KillFiles.NMO | DynoWiper. |
