CERT Polska, el equipo polaco de respuesta a emergencias informáticas, reveló que los ciberataques coordinados se dirigieron a más de 30 parques eólicos y fotovoltaicos, una empresa privada del sector manufacturero y una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.
El incidente tuvo lugar el 29 de diciembre de 2025. La agencia atribuyó los ataques a un grupo de amenazas denominado Static Tundra, que también se rastrea como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (anteriormente Bromine) y Havex. Se considera que Static Tundra está vinculada a la unidad Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia.
Vale la pena señalar que informes recientes de ESET y Dragos atribuyeron la actividad con moderada confianza a otro grupo de piratería patrocinado por el estado ruso conocido como Sandworm.
«Todos los ataques tenían un objetivo puramente destructivo», afirmó CERT Polska en un informe publicado el viernes. «Aunque los ataques a granjas de energía renovable interrumpieron la comunicación entre estas instalaciones y el operador del sistema de distribución, no afectaron la producción en curso de electricidad. Del mismo modo, el ataque a la planta combinada de calor y energía no logró el efecto pretendido por el atacante de interrumpir el suministro de calor a los usuarios finales».
Se dice que los atacantes obtuvieron acceso a la red interna de subestaciones eléctricas asociadas con una instalación de energía renovable para llevar a cabo actividades de reconocimiento y disruptivas, incluido dañar el firmware de los controladores, eliminar archivos del sistema o lanzar un malware de limpieza personalizado con el nombre en código DynoWiper de ESET.
En la intrusión dirigida al CHP, el adversario participó en un robo de datos a largo plazo que se remonta a marzo de 2025, lo que les permitió escalar privilegios y moverse lateralmente a través de la red. Los intentos de los atacantes de detonar el malware limpiador no tuvieron éxito, señaló CERT Polska.
Por otro lado, se cree que apuntar a la empresa del sector manufacturero es oportunista, ya que el actor de la amenaza obtiene acceso inicial a través de un dispositivo perimetral vulnerable de Fortinet. Es probable que el ataque dirigido al punto de conexión a la red también haya implicado la explotación de un dispositivo FortiGate vulnerable.
Hasta la fecha se han descubierto al menos cuatro versiones diferentes de DynoWiper. Estas variantes se implementaron en las computadoras Mikronika HMI utilizadas por la instalación de energía y en una red compartida dentro del CHP después de asegurar el acceso a través del servicio de portal SSL-VPN de un dispositivo FortiGate.
«El atacante obtuvo acceso a la infraestructura utilizando múltiples cuentas que estaban definidas estáticamente en la configuración del dispositivo y no tenían habilitada la autenticación de dos factores», dijo CERT Polska, detallando el modus operandi del actor dirigido al CHP. «El atacante se conectó mediante nodos Tor, así como direcciones IP polacas y extranjeras, que a menudo estaban asociadas con la infraestructura comprometida».
La funcionalidad del limpiador es bastante sencilla:
- Inicialización que implica sembrar un generador de números pseudoaleatorios (PRNG) llamado Mersenne Twister
- Enumerar archivos y corromperlos usando el PRNG
- Eliminar archivos
Vale la pena mencionar aquí que el malware no tiene un mecanismo de persistencia, una forma de comunicarse con un servidor de comando y control (C2) o ejecutar comandos de shell. Tampoco intenta ocultar la actividad a los programas de seguridad.
CERT Polska dijo que el ataque dirigido a la empresa del sector manufacturero implicó el uso de un limpiador basado en PowerShell denominado LazyWiper que sobrescribe archivos en el sistema con secuencias pseudoaleatorias de 32 bytes para hacerlos irrecuperables. Se sospecha que la funcionalidad principal de limpieza se desarrolló utilizando un modelo de lenguaje grande (LLM).
«El malware utilizado en el incidente relacionado con las granjas de energía renovable se ejecutó directamente en la máquina HMI», señaló CERT Polska. «Por el contrario, en la planta de cogeneración (DynoWiper) y en la empresa del sector manufacturero (LazyWiper), el malware se distribuía dentro del dominio Active Directory a través de un script PowerShell ejecutado en un controlador de dominio».
La agencia también describió algunas de las similitudes a nivel de código entre DynoWiper y otros limpiaparabrisas construidos por Sandworm como de naturaleza «general» y no ofrece ninguna evidencia concreta sobre si el actor de la amenaza participó en el ataque.
«El atacante utilizó credenciales obtenidas del entorno local en un intento de obtener acceso a los servicios en la nube», dijo CERT Polska. «Después de identificar las credenciales para las cuales existían las cuentas correspondientes en el servicio M365, el atacante descargó datos seleccionados de servicios como Exchange, Teams y SharePoint».
«El atacante estaba particularmente interesado en archivos y mensajes de correo electrónico relacionados con la modernización de la red OT, los sistemas SCADA y el trabajo técnico realizado dentro de las organizaciones».