Ein Cyberangriff Ende Dezember 2025, der Teile der polnischen Energieinfrastruktur ins Visier nahm, wurde mit der staatlich unterstützten russischen Hackergruppe Sandworm in Verbindung gebracht, obwohl Beamte sagen, dass die Aktion nicht erfolgreich war, die Stromversorgung zu stören. Sicherheitsforscher führen den versuchten Einbruch auf Sandworm zurück, basierend auf der Analyse der verwendeten Malware und Ähnlichkeiten mit den bisherigen Operationen der Gruppe.
Der Angriff ereignete sich am 29. und 30. Dezember 2025, als bösartige Software namens DynoWiper gegen Steuerungssysteme von zwei Kraftwerken und eines Systems zur Stromverwaltung aus erneuerbaren Quellen wie Windturbinen und Solaranlagen eingesetzt wurde. DynoWiper ist eine Art “Wiper”-Malware, die darauf ausgelegt ist, Daten zu löschen und infizierte Systeme unbrauchbar zu machen, wenn sie ausgeführt werden. Die Sicherheitsfirma ESET analysierte Proben der Malware und führte die Aktivität mit mittlerer Sicherheit auf Sandworm zurück, wobei sie Überschneidungen mit zuvor mit der Gruppe in Verbindung gebrachten zerstörerischen Tools verwies.
Polnische Beamte bezeichneten den Vorfall als ernsthaften Cyberangriff auf die Energieinfrastruktur des Landes. Milosz Motyka, polnischer Energieminister, sagte, der Angriff sei “der stärkste” in den letzten Jahren, obwohl die Verteidigung bestand und die Schadsoftware nicht die beabsichtigte Wirkung erzielte. Forscher und Regierungsvertreter berichteten beide, dass es durch die Einführung der Malware keine betriebliche Unterbrechung gab.
Sandworm, das auch von Cybersicherheitsfirmen als UAC-0113 und APT44 verfolgt wird, gilt weithin als Bedrohungsakteur für den Nationalstaat mit Verbindungen zur russischen militärischen Nachrichtendiensteinheit (GRU) und einer langen Geschichte von Cyberoperationen gegen kritische Infrastrukturen. Die Gruppe wurde zuvor mit zerstörerischen Angriffen auf Energiesysteme in Verbindung gebracht, darunter ein Wischer-Angriff auf das ukrainische Stromnetz im Jahr 2015, der zu Ausfällen für etwa 230.000 Kunden führte.
Polnische Behörden und Forscher haben keine vollständigen technischen Details darüber bekanntgegeben, wie die Angreifer den ersten Zugang zu Energiesystemen erhielten oder wie der Zeitplan des Einbruchs war. Die ESET-Analyse stellte fest, dass Ähnlichkeiten in den “Taktiken, Techniken und Verfahren” der Malware die Zuschreibung Sandworm zuschreiben, einer Gruppe mit Erfahrung im Einsatz von Wiper-Malware in anderen Kampagnen im Jahr 2025.
Der Zeitpunkt des Angriffs, der fast zehn Jahre nach dem Stromnetz-Hack in der Ukraine 2015 stattfand und ebenfalls mit Sandworm in Verbindung gebracht wurde, zog die Aufmerksamkeit von Cybersicherheitsanalysten auf sich. Der polnische Premierminister Donald Tusk sagte, die Behörden würden weiterhin die Cyberabwehr stärken und mit internationalen Partnern zusammenarbeiten, um kritische Infrastruktur vor ähnlichen Bedrohungen zu schützen.