Une cyberattaque fin décembre 2025 visant des parties de l’infrastructure énergétique polonaise a été liée au groupe de hackers Sandworm, aligné sur l’État russe, bien que les responsables affirment que cette initiative n’a pas réussi à perturber les systèmes électriques. Les chercheurs en sécurité attribuent la tentative d’intrusion à Sandworm sur la base de l’analyse des logiciels malveillants utilisés et des similitudes avec les opérations précédentes du groupe.
L’attaque a eu lieu les 29 et 30 décembre 2025, lorsque des logiciels malveillants appelés DynoWiper ont été déployés contre les systèmes de contrôle de deux centrales thermiques et électriques combinées ainsi qu’un système utilisé pour gérer l’électricité provenant de sources renouvelables telles que les éoliennes et les installations solaires. DynoWiper est un type de logiciel malveillant « wiper » conçu pour effacer les données et rendre les systèmes infectés inutilisables s’il est exécuté. La société de sécurité ESET a analysé des échantillons du malware et attribué l’activité à Sandworm avec une confiance moyenne, citant des chevauchements avec des outils destructeurs précédemment associés au groupe.
Les responsables polonais ont qualifié l’incident de cyberattaque grave contre les infrastructures énergétiques du pays. Milosz Motyka, ministre polonais de l’Énergie, a déclaré que l’attaque était « la plus puissante » vue ces dernières années, bien que les défenses aient tenu bon et que le malware n’ait pas atteint l’effet escompté. Chercheurs et représentants gouvernementaux ont tous deux rapporté qu’aucune perturbation opérationnelle n’a été survenue à la suite du déploiement du malware.
Sandworm, également suivi par des entreprises de cybersécurité sous les noms UAC-0113 et APT44, est largement considéré comme un acteur de menace étatique ayant des liens avec l’unité de renseignement militaire russe (GRU) et une longue histoire d’opérations cybernétiques ciblant des infrastructures critiques. Le groupe a déjà été lié à des attaques destructrices contre les systèmes énergétiques, notamment une attaque par essuie-glaces en 2015 sur le réseau électrique ukrainien qui a entraîné des coupures pour environ 230 000 clients.
Les autorités et chercheurs polonais n’ont pas divulgué tous les détails techniques sur la manière dont les attaquants ont obtenu un accès initial aux systèmes énergétiques ni sur la chronologie de l’intrusion. L’analyse ESET a noté que les similitudes dans les « tactiques, techniques et procédures » du malware soutiennent l’attribution à Sandworm, un groupe ayant un historique de déploiement de logiciels malveillants d’essuie-partout dans d’autres campagnes tout au long de 2025.
Le moment de l’attaque, survenu près de dix ans après le piratage du réseau électrique ukrainien en 2015, également lié à Sandworm, a attiré l’attention des analystes en cybersécurité. Le Premier ministre polonais Donald Tusk a déclaré que les autorités continueraient à renforcer les cyberdéfenses et à collaborer avec des partenaires internationaux pour protéger les infrastructures critiques contre des menaces similaires.