Um ataque cibernético no final de dezembro de 2025, que atingiu partes da infraestrutura energética da Polônia, foi ligado ao grupo de hackers Sandworm, aliado ao Estado russo, embora autoridades afirmem que o esforço não conseguiu desestabilizar os sistemas de energia. Pesquisadores de segurança atribuem a tentativa de intrusão ao Sandworm com base na análise do malware usado e nas semelhanças com as operações anteriores do grupo.
O ataque ocorreu em 29 e 30 de dezembro de 2025, quando um software malicioso conhecido como DynoWiper foi implantado contra sistemas de controle de duas usinas combinadas de calor e energia e um sistema usado para gerenciar eletricidade de fontes renováveis, como turbinas eólicas e instalações solares. DynoWiper é um tipo de malware “wiper” projetado para apagar dados e tornar sistemas infectados inutilizáveis se executado. A empresa de segurança ESET analisou amostras do malware e atribuiu a atividade ao Sandworm com confiança média, citando sobreposições com ferramentas destrutivas anteriormente associadas ao grupo.
Autoridades polonesas caracterizaram o incidente como um grave ataque cibernético à infraestrutura energética do país. Milosz Motyka, ministro de energia da Polônia, disse que o ataque foi “o mais forte” visto nos últimos anos, embora as defesas tenham resistido e o malware não tenha alcançado o efeito pretendido. Pesquisadores e representantes do governo relataram que nenhuma interrupção operacional ocorreu como resultado da implantação do malware.
Sandworm, também monitorado por empresas de cibersegurança como UAC-0113 e APT44, é amplamente considerado um ator de ameaça de Estado-nação com ligações à unidade de inteligência militar (GRU) da Rússia e uma longa história de operações cibernéticas direcionadas a infraestruturas críticas. O grupo já esteve anteriormente ligado a ataques destrutivos a sistemas de energia, incluindo um ataque com limpadores de limpadores em 2015 à rede elétrica da Ucrânia, que resultou em quedas para aproximadamente 230.000 clientes.
Autoridades e pesquisadores poloneses não divulgaram detalhes técnicos completos de como os atacantes tiveram acesso inicial aos sistemas energéticos ou a linha do tempo da invasão. A análise da ESET observou que semelhanças em “táticas, técnicas e procedimentos” do malware apoiam a atribuição ao Sandworm, um grupo com histórico de implantar malware de limpadores em outras campanhas ao longo de 2025.
O momento do ataque, ocorrido quase dez anos após o ataque à rede elétrica da Ucrânia em 2015, também ligado ao Sandworm, chamou a atenção de analistas de cibersegurança. O primeiro-ministro polonês Donald Tusk disse que as autoridades continuarão a fortalecer as defesas cibernéticas e trabalharão com parceiros internacionais para proteger infraestruturas críticas de ameaças semelhantes.