Autoridades polonesas e pesquisadores independentes atribuíram um ataque cibernético em larga escala à rede elétrica da Polônia no final de dezembro de 2025 a hackers estatais ligados à Rússia. O ataque teve como alvo sistemas que gerenciam a geração e distribuição de energia e envolveu malware projetado para apagar dados dos sistemas de controle industrial e interromper operações. O incidente não causou quedas generalizadas, mas autoridades o descreveram como uma das operações cibernéticas mais significativas já direcionadas à infraestrutura crítica polonesa.
O governo da Polônia relatou que sistemas em 29 e 30 de dezembro foram submetidos a tentativas de intrusão digital direcionadas às redes de tecnologia da informação e tecnologia operacional de usinas combinadas de calor e energia elétrica e os sistemas de gestão para instalações de energia renovável. Esses sistemas coordenam a produção de eletricidade proveniente de turbinas eólicas, fazendas solares e outras fontes de energia distribuídas. As autoridades polonesas disseram que os ataques foram repelidos antes que qualquer perda de energia ocorresse.
Analistas de segurança da empresa ESET de cibersegurança identificaram o malware usado no incidente como uma nova variante do software de limpador chamado DynoWiper. A ESET atribuiu o ataque a um grupo de ameaça persistente avançado russo de longa data, amplamente conhecido como Verme da Areia, que os governos ocidentais associam à Direção Principal de Inteligência (GRU) da Rússia. O grupo já foi ligado a campanhas cibernéticas disruptivas anteriores, incluindo um ataque à rede elétrica da Ucrânia em 2015.
O ministro polonês de assuntos digitais disse que o incidente foi o primeiro ataque em larga escala conhecido a recursos energéticos distribuídos e descreveu o ataque tanto a grandes quanto a pequenas instalações renováveis como uma escalada das ameaças cibernéticas ao setor de energia. Autoridades disseram que o ataque mostrou como sistemas digitais que conectam ativos de geração de energia à infraestrutura de controle da rede podem ser explorados.
O primeiro-ministro Donald Tusk e autoridades de energia disseram que a operação parecia destinada a interromper a comunicação entre as instalações geradoras e os operadores da rede. A escala e sofisticação do ataque levaram a alertas das autoridades nacionais de que infraestrutura crítica continua vulnerável a futuras incursões de atores ligados ao Estado. Apesar da ausência de quedas, o episódio desencadeou planos para fortalecer os requisitos de cibersegurança para sistemas energéticos e equipar operadores públicos e privados com ferramentas avançadas para detecção e resposta a ameaças.
Relatórios independentes indicaram que pesquisadores que analisaram o malware e as técnicas de intrusão notaram fortes semelhanças com campanhas anteriores do Sandworm, incluindo sobreposição de código e táticas consistentes com atores ligados ao GRU. Governos ocidentais já atribuíram oficialmente ataques cibernéticos destrutivos à infraestrutura na Europa a unidades da inteligência militar russa e impuseram sanções relacionadas a tais operações.
O ministro de energia da Polônia descreveu o evento do final de dezembro como o ataque cibernético mais poderoso ao sistema energético nacional em anos e confirmou que medidas defensivas evitaram a perda de energia dos consumidores durante um período de frio. A avaliação do governo enfatizou a importância da vigilância e da proteção reforçada para redes de infraestrutura crítica.