Poolse autoriteiten en onafhankelijke onderzoekers hebben een grootschalige cyberaanval op het Poolse elektriciteitsnet eind december 2025 toegeschreven aan staatshackers die aan Rusland zijn gelieerd. De aanval was gericht op systemen die energieopwekking en distributie beheren en betrof malware die bedoeld was om gegevens uit industriële controlesystemen te wissen en de bedrijfsvoering te verstoren. Het incident veroorzaakte geen grootschalige storingen, maar functionarissen beschreven het als een van de belangrijkste cyberoperaties ooit gericht op kritieke Poolse infrastructuur.
De Poolse regering meldde dat systemen op 29 en 30 december werden onderworpen aan digitale inbraakpogingen gericht op de informatietechnologie- en operationele technologienetwerken van warmtecentrales en de beheersystemen voor hernieuwbare energiecentrales. Deze systemen coördineren de elektriciteitsproductie van windturbines, zonneparken en andere gedistribueerde energiebronnen. De Poolse autoriteiten zeiden dat de aanvallen werden afgeslagen voordat er stroomuitval was.
Beveiligingsanalisten van een cyberbeveiligingsbedrijf ESET identificeerden de gebruikte malware bij het incident als een nieuwe variant van wiper-software genaamd DynoWiper. ESET schreef de aanval toe aan een langlopende Russische geavanceerde persistente dreigingsgroep, algemeen bekend als Sandworm, die westerse regeringen associëren met de Russische Hoofdinlichtingendienst (GRU). De groep is in verband gebracht met eerdere ontwrichtende cybercampagnes, waaronder een aanval op het Oekraïense elektriciteitsnet in 2015.
De Poolse minister van digitale zaken zei dat het incident de eerste bekende grootschalige aanval op gedistribueerde energiebronnen was en omschreef het aanvallen van zowel grote als kleinere hernieuwbare installaties als een escalatie van cyberdreigingen voor de energiesector. Functionarissen zeiden dat de aanval liet zien hoe digitale systemen die elektriciteitsopwekkingsinstallaties verbinden met de infrastructuur van het netbeheer, kunnen worden uitgebuit.
Premier Donald Tusk en energiefunctionarissen zeiden dat de operatie bedoeld leek te zijn om de communicatie tussen elektriciteitscentrales en netbeheerders te verstoren. De omvang en verfijning van de aanval leidden tot waarschuwingen van nationale autoriteiten dat kritieke infrastructuur kwetsbaar blijft voor toekomstige invallen door door de staat gelinkte actoren. Ondanks het ontbreken van storingen leidde de episode tot plannen om de cybersecurityvereisten voor energiesystemen te versterken en publieke en private operators uit te rusten met geavanceerde tools voor dreigingsdetectie en -respons.
Onafhankelijke rapportages gaven aan dat onderzoekers die de malware en inbraaktechnieken analyseerden sterke overeenkomsten zagen met eerdere campagnes van Sandworm, waaronder code-overlap en tactieken die consistent zijn met GRU-gekoppelde actoren. Westerse regeringen hebben in het verleden officieel destructieve cyberaanvallen op infrastructuur in Europa toegeschreven aan eenheden van de Russische militaire inlichtingendienst en sancties opgelegd die verband houden met dergelijke operaties.
De Poolse minister van Energie omschreef het evenement eind december als de krachtigste cyberaanval op het nationale energiesysteem in jaren en bevestigde dat defensieve maatregelen stroomuitval voor consumenten tijdens een periode van koud weer hebben voorkomen. De beoordeling van de overheid benadrukte het belang van waakzaamheid en verbeterde bescherming van kritieke infrastructuurnetwerken.