Een cyberaanval eind december 2025 gericht op delen van de Poolse energie-infrastructuur is in verband gebracht met de Russische staatsgelieerde hackergroep Sandworm, hoewel functionarissen zeggen dat de poging niet succesvol is geweest in het verstoren van de elektriciteitssystemen. Beveiligingsonderzoekers schrijven de poging tot inbraak toe aan Sandworm op basis van analyse van de gebruikte malware en overeenkomsten met eerdere operaties van de groep.
De aanval vond plaats op 29 en 30 december 2025, toen kwaadaardige software genaamd DynoWiper werd ingezet tegen besturingssystemen van twee warmte- en energiecentrales en een systeem dat wordt gebruikt om elektriciteit uit hernieuwbare bronnen zoals windturbines en zonne-energiefaciliteiten te beheren. DynoWiper is een type “wiper”-malware die is ontworpen om gegevens te wissen en geïnfecteerde systemen onbruikbaar te maken als deze wordt uitgevoerd. Beveiligingsbedrijf ESET analyseerde monsters van de malware en schreef de activiteit toe aan Sandworm met matige betrouwbaarheid, waarbij overlap werd genoemd met destructieve tools die eerder met de groep werden geassocieerd.
Poolse functionarissen karakteriseerden het incident als een ernstige cyberaanval op de energie-infrastructuur van het land. Milosz Motyka, de Poolse minister van Energie, zei dat de aanval “de sterkste” was die in de afgelopen jaren is gezien, hoewel de verdediging standhield en de malware niet het beoogde effect bereikte. Zowel onderzoekers als overheidsvertegenwoordigers meldden dat er geen operationele verstoring was als gevolg van de malware-implementatie.
Sandworm, ook gevolgd door cyberbeveiligingsbedrijven als UAC-0113 en APT44, wordt algemeen beschouwd als een natie-staat dreigingsactor met banden met de Russische militaire inlichtingendienst (GRU) en een lange geschiedenis van cyberoperaties gericht op kritieke infrastructuur. De groep is eerder in verband gebracht met destructieve aanvallen op energiesystemen, waaronder een wiper-aanval in 2015 op het elektriciteitsnet van Oekraïne die leidde tot storingen voor ongeveer 230.000 klanten.
Poolse autoriteiten en onderzoekers hebben geen volledige technische details bekendgemaakt over hoe de aanvallers aanvankelijk toegang kregen tot energiesystemen of de tijdlijn van de inbraak. De ESET-analyse merkte op dat overeenkomsten in “tactieken, technieken en procedures” van de malware de toeschrijving aan Sandworm ondersteunen, een groep met een staat van dienst in het inzetten van wiper-malware in andere campagnes gedurende 2025.
De timing van de aanval, bijna tien jaar na de Oekraïense stroomnethack in 2015, ook gelinkt aan Sandworm, trok de aandacht van cybersecurity-analisten. De Poolse premier Donald Tusk zei dat de autoriteiten de cyberverdediging zullen blijven versterken en samenwerken met internationale partners om kritieke infrastructuur te beschermen tegen soortgelijke dreigingen.