De Russische natiestaat-hackgroep, bekend als Sandworm, wordt toegeschreven aan wat wordt beschreven als de “grootste cyberaanval” gericht op het Poolse machtssysteem in de laatste week van december 2025.
De aanval was niet succesvol, zei de minister van Energie, Milosz Motyka, vorige week.
“Het bevel over de cyberspace-troepen heeft in de laatste dagen van het jaar de sterkste aanval op de energie-infrastructuur in jaren vastgesteld”, aldus Motyka.
Volgens een nieuw rapport van ESET was de aanval het werk van Sandworm, die een voorheen ongedocumenteerde wiper-malware met de codenaam DynoWiper. De links naar Sandworm zijn gebaseerd op overlappingen met eerdere ruitenwisseractiviteiten in verband met de tegenstander, vooral in de nasleep van de Russische militaire invasie van Oekraïne in februari 2022.
Het Slowaakse cyberbeveiligingsbedrijf, dat het gebruik van de ruitenwisser identificeerde als onderdeel van de poging tot ontwrichtende aanval gericht op de Poolse energiesector op 29 december 2025, zei dat er geen bewijs is van een succesvolle verstoring.
De aanvallen van 29 en 30 december 2025 waren gericht op twee warmtekrachtcentrales (WKK), evenals op een systeem dat het beheer mogelijk maakt van elektriciteit die is opgewekt uit hernieuwbare energiebronnen zoals windturbines en fotovoltaïsche parken, aldus de Poolse regering.
“Alles wijst erop dat deze aanvallen zijn voorbereid door groepen die rechtstreeks verband houden met de Russische diensten”, zei premier Donald Tusk. Hij voegde eraan toe dat de regering extra waarborgen voorbereidt, waaronder een belangrijke cyberveiligheidswetgeving die strikte eisen zal stellen aan risicobeheer, bescherming van informatietechnologie (IT) en operationele technologie (OT)-systemen, en incidentrespons.
Het is vermeldenswaard dat de activiteit plaatsvond op de tiende verjaardag van de aanval van de Sandworm op het Oekraïense elektriciteitsnet in december 2015, wat leidde tot de inzet van de BlackEnergy-malware, waardoor delen van de regio Ivano-Frankivsk in Oekraïne in duisternis werden gehuld.
De trojan, die werd gebruikt om een wiper-malware genaamd KillDisk te installeren, veroorzaakte een stroomstoring van vier tot zes uur voor ongeveer 230.000 mensen.
“Sandworm heeft een lange geschiedenis van ontwrichtende cyberaanvallen, vooral op de kritieke infrastructuur van Oekraïne”, aldus ESET. “Snel een decennium vooruit en Sandworm blijft zich richten op entiteiten die actief zijn in verschillende kritieke infrastructuursectoren.”
In juni 2025 zei Cisco Talos dat een kritieke infrastructuurentiteit in Oekraïne het doelwit was van een voorheen onzichtbare datawiper-malware genaamd PathWiper die een zekere mate van functionele overlap deelt met Sandworm’s HermeticWiper.
Er is ook waargenomen dat de Russische hackgroep malware voor het wissen van gegevens inzet, zoals ZEROLOT en Sting, in een Oekraïens universiteitsnetwerk, gevolgd door het aanbieden van meerdere varianten van malware voor het wissen van gegevens tegen Oekraïense entiteiten die actief zijn in de overheids-, energie-, logistieke en graansector tussen juni en september 2025.
