El grupo de hackers ruso conocido como Sandworm ha sido atribuido a lo que se ha descrito como el «mayor ciberataque» dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025.
El ataque no tuvo éxito, afirmó la semana pasada el ministro de Energía del país, Milosz Motyka.
«El mando de las fuerzas ciberespaciales ha diagnosticado en los últimos días del año el ataque más fuerte a la infraestructura energética en años», afirmó Motyka.
Según un nuevo informe de ESET, el ataque fue obra de Sandworm, que implementó un malware de limpieza previamente indocumentado con nombre en código DynoWiper. Los vínculos con Sandworm se basan en superposiciones con actividades de limpieza previas asociadas con el adversario, particularmente después de la invasión militar rusa de Ucrania en febrero de 2022.
La empresa eslovaca de ciberseguridad, que identificó el uso del limpiador como parte del intento de ataque disruptivo dirigido al sector energético polaco el 29 de diciembre de 2025, dijo que no hay evidencia de una interrupción exitosa.
Los ataques del 29 y 30 de diciembre de 2025 tuvieron como objetivo dos plantas combinadas de calor y energía (CHP), así como un sistema que permite la gestión de la electricidad generada a partir de fuentes de energía renovables, como turbinas eólicas y parques fotovoltaicos, dijo el gobierno polaco.
«Todo indica que estos ataques fueron preparados por grupos directamente vinculados a los servicios rusos», dijo el primer ministro Donald Tusk, añadiendo que el gobierno está preparando salvaguardias adicionales, incluida una legislación clave de ciberseguridad que impondrá requisitos estrictos sobre gestión de riesgos, protección de los sistemas de tecnología de la información (TI) y tecnología operativa (OT), y respuesta a incidentes.
Vale la pena señalar que la actividad ocurrió en el décimo aniversario del ataque de Sandworm contra la red eléctrica ucraniana en diciembre de 2015, que llevó al despliegue del malware BlackEnergy, sumergiendo en la oscuridad partes de la región de Ivano-Frankivsk en Ucrania.
El troyano, que se utilizó para instalar un malware de limpieza denominado KillDisk, provocó un corte de energía de 4 a 6 horas para aproximadamente 230.000 personas.
«Sandworm tiene una larga historia de ciberataques disruptivos, especialmente en la infraestructura crítica de Ucrania», dijo ESET. «Una década más tarde, Sandworm continúa apuntando a entidades que operan en diversos sectores de infraestructura crítica».
En junio de 2025, Cisco Talos dijo que una entidad de infraestructura crítica dentro de Ucrania fue atacada por un malware de limpieza de datos nunca antes visto llamado PathWiper que comparte cierto nivel de superposición funcional con HermeticWiper de Sandworm.
También se ha observado que el grupo de hackers ruso implementa malware de borrado de datos, como ZEROLOT y Sting, en una red universitaria ucraniana, seguido de múltiples variantes de malware de borrado de datos contra entidades ucranianas activas en los sectores gubernamental, energético, logístico y de cereales entre junio y septiembre de 2025.