Malware DynoWiper
Nell'ultima settimana di dicembre 2025, il gruppo di hacker russo, noto come Sandworm, è stato ritenuto responsabile di quello che è stato descritto come il più grande tentativo di attacco informatico mai registrato contro il sistema energetico polacco. L'incidente si è verificato negli ultimi giorni dell'anno ed è stato pubblicamente riconosciuto dalle autorità nazionali come l'attacco più intenso alle infrastrutture energetiche del Paese da anni.
Nonostante la portata e la sofisticatezza dell'operazione, l'attacco non ha avuto successo. Il ministro dell'Energia polacco, Milosz Motyka, ha confermato che non è stata osservata alcuna interruzione della fornitura di energia elettrica.
Sommario
Infrastrutture critiche sotto il fuoco digitale diretto
Gli attacchi, rilevati il 29 e 30 dicembre 2025, erano diretti a due centrali termoelettriche e a un sistema di gestione dell'elettricità generata da fonti rinnovabili, tra cui turbine eoliche e parchi fotovoltaici. Le forze militari del cyberspazio hanno definito l'attività come la più grande campagna informatica ostile contro le infrastrutture energetiche polacche nella storia recente.
I ricercatori che hanno analizzato l'incidente non hanno riscontrato alcuna prova che il tentativo di sabotaggio abbia avuto un impatto operativo.
DynoWiper emerge come un nuovo strumento distruttivo
Secondo un rapporto appena pubblicato da specialisti della sicurezza informatica, l'operazione ha coinvolto un malware wiper precedentemente non documentato denominato DynoWiper, identificato anche come Win32/KillFiles.NMO. L'attribuzione a Sandworm si basa su sovrapposizioni tecniche e comportamentali con precedenti campagne distruttive collegate allo stesso avversario, in particolare quelle condotte dopo l'invasione su vasta scala dell'Ucraina da parte della Russia nel febbraio 2022.
Il tergicristallo è stato utilizzato nell'ambito di un tentativo coordinato di interrompere il settore energetico polacco, a dimostrazione del continuo investimento da parte dell'autore della minaccia in strumenti appositamente progettati per il sabotaggio delle infrastrutture.
Risposta del governo e contromisure normative
Le autorità polacche hanno dichiarato che tutti gli indicatori indicano la presenza di gruppi direttamente collegati ai servizi russi. In risposta, il governo sta predisponendo ulteriori misure di salvaguardia, tra cui l'avanzamento di una legislazione chiave in materia di sicurezza informatica. Si prevede che le misure previste imporranno requisiti più rigorosi per la gestione del rischio, la protezione dei sistemi informatici (IT) e operativi (OT) e la gestione degli incidenti informatici che interessano i servizi critici.
Una data simbolica con risonanza storica
La tempistica dell'attività era particolarmente significativa. Il tentativo di intrusione nella rete elettrica polacca coincideva con il decimo anniversario dell'attacco storico di Sandworm alla rete elettrica ucraina, avvenuto nel dicembre 2015. Quella precedente campagna aveva sfruttato il malware BlackEnergy per distribuire un componente distruttivo noto come KillDisk, innescando interruzioni di corrente della durata di quattro-sei ore e lasciando senza elettricità circa 230.000 residenti nella regione di Ivano-Frankivsk.
Un decennio di persistenti sconvolgimenti
Sandworm ha una lunga storia di attacchi a infrastrutture critiche, in particolare in Ucraina. Dieci anni dopo il blackout del 2015, il gruppo continua a perseguire obiettivi dirompenti in diversi settori.
Nel giugno 2025, i ricercatori hanno rivelato che un'organizzazione ucraina di infrastrutture critiche era stata colpita da un malware di cancellazione dati mai visto prima, denominato PathWiper, che mostrava somiglianze funzionali con HermeticWiper, un altro strumento associato a Sandworm. Nello stesso anno, il gruppo è stato anche osservato mentre distribuiva ulteriori famiglie di malware distruttivi, tra cui ZEROLOT e Sting, all'interno di una rete universitaria ucraina, a cui ha fatto seguito un'ondata più ampia di attacchi di cancellazione dati contro entità governative, energetiche, logistiche e del settore cerealicolo ucraino tra giugno e settembre 2025.
Implicazioni strategiche per la difesa del settore energetico
Il tentativo di intrusione nell'ecosistema energetico polacco rafforza la valutazione secondo cui Sandworm rimane focalizzata su operazioni informatiche in grado di produrre conseguenze nel mondo fisico. L'emergere di DynoWiper, insieme a un catalogo crescente di wiper, evidenzia la continua evoluzione del malware distruttivo e sottolinea l'urgenza per i fornitori di energia di rafforzare la resilienza, il monitoraggio e i meccanismi di risposta coordinati negli ambienti IT e OT.
