Programari maliciós de DynoWiper
L'última setmana de desembre de 2025, el grup de pirates informàtics de l'estat-nació rus, àmpliament conegut com a Sandworm, va ser atribuït al que s'ha descrit com el major intent de ciberatac mai registrat contra el sistema elèctric de Polònia. L'incident va tenir lloc durant els darrers dies de l'any i va ser reconegut públicament per les autoritats nacionals com l'assalt més intens a la infraestructura energètica del país en anys.
Malgrat l'abast i la sofisticació de l'operació, l'atac no va tenir èxit. El ministre d'energia de Polònia, Milosz Motyka, va confirmar que no es va observar cap interrupció del subministrament elèctric.
Taula de continguts
Infraestructures crítiques sota foc digital directe
Els atacs, detectats el 29 i 30 de desembre de 2025, es van dirigir contra dues centrals de cogeneració i contra un sistema responsable de gestionar l'electricitat generada a partir de fonts renovables, com ara aerogeneradors i parcs fotovoltaics. Les forces militars del ciberespai van qualificar l'activitat com la cibercampanya hostil més forta contra la infraestructura energètica polonesa de la història recent.
Els investigadors que van analitzar l'incident no van reportar proves que l'intent de sabotatge hagués aconseguit cap impacte operatiu.
DynoWiper emergeix com una nova eina destructiva
Segons un informe recentment publicat per especialistes en seguretat de la informació, l'operació va involucrar un programari maliciós de neteja de dades indocumentat prèviament anomenat DynoWiper, també rastrejat com a Win32/KillFiles.NMO. L'atribució a Sandworm es basa en coincidències tècniques i de comportament amb campanyes destructives anteriors vinculades al mateix adversari, en particular les que es van dur a terme després de la invasió a gran escala d'Ucraïna per part de Rússia el febrer de 2022.
L'eixugaparabrises es va desplegar com a part d'un intent coordinat per interrompre el sector energètic de Polònia, cosa que indica una inversió contínua de l'actor amenaçador en eines dissenyades específicament per al sabotatge d'infraestructures.
Resposta del govern i contramesures reguladores
Les autoritats poloneses van declarar que tots els indicadors apunten a grups directament connectats amb serveis russos. En resposta, el govern està preparant salvaguardes addicionals, inclòs l'avanç de la legislació clau sobre ciberseguretat. Es preveu que les mesures previstes imposin requisits més estrictes per a la gestió de riscos, la protecció dels sistemes de tecnologia de la informació (TI) i de tecnologia operativa (TO), i la gestió d'incidents cibernètics que afectin serveis crítics.
Una data simbòlica amb ressonància històrica
El moment de l'activitat va tenir una importància particular. L'intent d'intrusió a la xarxa elèctrica polonesa va coincidir amb el desè aniversari de l'atac històric de Sandworm a la xarxa elèctrica d'Ucraïna el desembre de 2015. Aquella campanya anterior va aprofitar el programari maliciós BlackEnergy per desplegar un component destructiu conegut com a KillDisk, provocant talls de corrent de quatre a sis hores de durada i deixant aproximadament 230.000 residents de la regió d'Ivano-Frankivsk sense electricitat.
Una dècada de disrupció persistent
Sandworm té un llarg historial d'atacs contra infraestructures crítiques, sobretot a Ucraïna. Deu anys després de l'apagada del 2015, el grup continua perseguint objectius disruptius en múltiples sectors.
El juny de 2025, uns investigadors van revelar que una organització ucraïnesa d'infraestructures crítiques havia estat atacada per un programari maliciós d'esborrat de dades inèdit anomenat PathWiper, que mostrava similituds funcionals amb HermeticWiper, una altra eina associada a Sandworm. Durant el mateix any, també es va observar que el grup implementava famílies de programari maliciós destructiu addicionals, com ara ZEROLOT i Sting, dins d'una xarxa universitària ucraïnesa, seguit d'una onada més àmplia d'atacs d'esborrat de dades contra entitats del govern ucraïnès, l'energia, la logística i els sectors del gra entre juny i setembre de 2025.
Implicacions estratègiques per a la defensa del sector energètic
L'intent d'intrusió a l'ecosistema energètic de Polònia reforça l'avaluació que Sandworm continua centrada en operacions cibernètiques capaces de produir conseqüències al món físic. L'aparició de DynoWiper, juntament amb un catàleg creixent d'eixugadors, destaca l'evolució contínua del programari maliciós destructiu i subratlla la urgència que els proveïdors d'energia enforteixin la resiliència, la supervisió i els mecanismes de resposta coordinada en entorns tant de TI com de TO.
