Un attacco informatico della fine di dicembre 2025 che ha colpito parti dell’infrastruttura energetica polacca è stato collegato al gruppo di hacker allineato allo stato russo Sandworm, anche se i funzionari affermano che lo sforzo non è riuscito a compromettere i sistemi energetici. I ricercatori di sicurezza attribuiscono il tentativo di intrusione a Sandworm basandosi sull’analisi del malware utilizzato e sulle somiglianze con le precedenti operazioni del gruppo.
L’attacco è avvenuto il 29 e 30 dicembre 2025, quando un software malevolo noto come DynoWiper è stato impiegato contro i sistemi di controllo di due centrali termiche e elettriche combinate e un sistema utilizzato per gestire l’elettricità proveniente da fonti rinnovabili come turbine eoliche e impianti solari. DynoWiper è un tipo di malware “tergicristallo” progettato per cancellare i dati e rendere inutilizzabili i sistemi infetti se eseguito. La società di sicurezza ESET ha analizzato campioni del malware e attribuito l’attività a Sandworm con media sicurezza, citando sovrapposizioni con strumenti distruttivi precedentemente associati al gruppo.
I funzionari polacchi hanno definito l’episodio un grave attacco informatico alle infrastrutture energetiche nazionali. Milosz Motyka, ministro dell’energia polacco, ha detto che l’attacco è stato “il più forte” visto negli ultimi anni, anche se le difese hanno mantenuto e il malware non ha raggiunto l’effetto desiderato. Ricercatori e rappresentanti governativi hanno riferito che non si è verificata alcuna interruzione operativa a seguito del dispiegamento del malware.
Sandworm, monitorato anche da società di cybersecurity come UAC-0113 e APT44, è ampiamente considerato un attore di minaccia statale-nazione con legami con l’unità di intelligence militare russa (GRU) e una lunga storia di operazioni cibernetiche che hanno colpito infrastrutture critiche. Il gruppo è stato precedentemente collegato ad attacchi distruttivi contro sistemi energetici, incluso un attacco con tergicristalli nel 2015 alla rete elettrica ucraina che ha causato interruzioni per circa 230.000 clienti.
Le autorità e i ricercatori polacchi non hanno divulgato dettagli tecnici completi su come gli aggressori abbiano ottenuto accesso iniziale ai sistemi energetici né sulla tempistica dell’intrusione. L’analisi ESET ha rilevato che le somiglianze nelle “tattiche, tecniche e procedure” del malware supportano l’attribuzione a Sandworm, un gruppo con un record di utilizzo di malware per i tergicristalli in altre campagne durante il 2025.
Il tempismo dell’attacco, avvenuto quasi dieci anni dopo l’attacco alla rete elettrica ucraina del 2015, anch’esso collegato a Sandworm, ha attirato l’attenzione degli analisti della cybersecurity. Il Primo Ministro polacco Donald Tusk ha dichiarato che le autorità continueranno a rafforzare le difese cibernetiche e a collaborare con partner internazionali per proteggere le infrastrutture critiche da minacce simili.