Sandworm attacca la rete energetica polacca con DynoWiper: l’operazione distruttiva sventata a fine 2025

0

Sandworm DynoWiper è al centro dell’attacco cyber lanciato contro la rete energetica polacca tra il 29 e il 30 dicembre 2025, un’operazione distruttiva attribuita con media confidenza al gruppo russo Sandworm, storicamente legato all’intelligence militare di Mosca. L’operazione ha preso di mira due impianti combinati di calore ed elettricità (CHP) e un sistema di gestione dell’energia rinnovabile che coordina turbine eoliche e installazioni fotovoltaiche, introducendo un cambio tattico significativo rispetto ai precedenti attacchi del gruppo. Le autorità polacche hanno tuttavia sventato l’azione senza alcuna interruzione di servizio, evitando blackout o destabilizzazioni della rete nazionale.

L’attacco alla rete energetica polacca e il contesto operativo

L’operazione viene individuata nelle ultime ore del 2025, in una finestra temporale altamente simbolica: il decimo anniversario dell’attacco del 2015 alla rete elettrica ucraina, sempre attribuito a Sandworm. Questa coincidenza temporale rafforza l’ipotesi di una dimostrazione di forza strategica, più che di un’azione puramente opportunistica. Secondo le autorità polacche, l’obiettivo non era colpire grandi nodi di trasmissione o centrali convenzionali, ma interrompere le comunicazioni tra impianti rinnovabili e operatori di distribuzione, una superficie d’attacco meno battuta ma sempre più critica nei moderni sistemi energetici ibridi.

Il ministro dell’Energia Milosz Motyka ha definito l’episodio come il più grande cyberattacco contro la Polonia degli ultimi anni, sottolineando come l’assenza di impatti visibili non debba ridurre la gravità dell’evento. Nei primi tre trimestri del 2025, il Paese ha registrato oltre 170.000 incidenti cyber, molti dei quali collegati direttamente o indirettamente ad attori russi, in un contesto di escalation costante dalla guerra in Ucraina in poi.

Attribuzione a Sandworm e ruolo dell’intelligence russa

L’attribuzione dell’attacco è stata resa pubblica dai ricercatori di ESET, che hanno collegato il malware e le tattiche operative a Sandworm con media confidenza. Gli analisti hanno individuato sovrapposizioni nei TTP, nella logica distruttiva e nell’uso di wiper mirati già osservati in campagne precedenti contro l’Ucraina.

Sandworm, noto anche come unità 74455 del GRU, è attivo almeno dal 2009 ed è considerato uno dei gruppi più distruttivi nel panorama del cyberwarfare statale. Nel 2015 utilizzò BlackEnergy per causare blackout che lasciarono senza elettricità circa 230.000 persone in Ucraina. Dal 2022 in poi, il gruppo ha intensificato le operazioni con malware wiper come HermeticWiper, PathWiper, ZEROLOT e Sting, colpendo settori governativi, logistici, agricoli e universitari.

Secondo le autorità polacche, nel 2025 l’intelligence militare russa avrebbe triplicato le risorse dedicate alle operazioni contro la Polonia, trasformando il Paese in uno dei target principali delle attività ibride di Mosca. Il primo ministro Donald Tusk ha dichiarato apertamente che gruppi direttamente collegati ai servizi militari russi stanno preparando e coordinando questi attacchi, non solo contro il settore energetico ma contro la sicurezza statale nel suo complesso.

DynoWiper: caratteristiche tecniche del nuovo malware distruttivo

Il fulcro tecnico dell’operazione è DynoWiper, un nuovo malware wiper identificato e analizzato da ESET. Il codice viene rilevato come Win32/KillFiles.NMO e si distingue per la sua semplicità distruttiva: il malware itera sistematicamente il filesystem cancellando i file e rendendo i sistemi completamente inoperabili, costringendo le vittime a ricostruzioni da backup o reinstallazioni totali.

Il campione analizzato è identificato dall’hash SHA-1 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6 e, al momento dell’analisi, non risultava caricato su piattaforme pubbliche come VirusTotal o Any.Run. Questo elemento suggerisce un impiego altamente mirato, coerente con operazioni statali e non con campagne criminali diffuse.

Dal punto di vista tecnico, DynoWiper non introduce exploit complessi né tecniche particolarmente sofisticate. La sua pericolosità risiede nella fase di accesso precedente, rimasta sconosciuta, e nel contesto operativo: una volta distribuito in ambienti IT e OT, la cancellazione dei file può bloccare sistemi di controllo industriale, comunicazioni operative e capacità di supervisione, generando downtime massiccio anche senza danni fisici agli impianti.

Un cambio tattico: focus sulle rinnovabili e sulle comunicazioni

Uno degli aspetti più rilevanti dell’attacco Sandworm DynoWiper in Polonia è il cambio di target rispetto alle operazioni storiche del gruppo. Invece di colpire grandi centrali o reti di trasmissione ad alta tensione, l’operazione si è concentrata sui collegamenti tra impianti rinnovabili e operatori di rete, un segmento sempre più critico con l’aumento di eolico e fotovoltaico nel mix energetico europeo.

Questa scelta indica una evoluzione strategica: i sistemi rinnovabili distribuiti presentano architetture complesse, spesso eterogenee, con una forte integrazione tra sistemi IT e OT. Compromettere le comunicazioni può non causare blackout immediati, ma può minare la stabilità, la fiducia e la capacità di risposta degli operatori, soprattutto in contesti di crisi geopolitica.

Impatto reale nullo, ma rischio sistemico elevato

Nonostante la gravità dell’operazione, l’attacco non ha prodotto alcuna disrupzione riuscita. Le autorità polacche hanno confermato che nessun consumatore ha subito interruzioni di elettricità o calore, e che la rete nazionale ha mantenuto piena stabilità. Anzi, il 14 gennaio 2026 la Polonia ha registrato un record di produzione energetica pari a 30 GW, dimostrando la resilienza del sistema.

Questo esito non riduce però la severità dell’incidente. DynoWiper è progettato per distruggere dati e bloccare sistemi, e se fosse stato eseguito con successo avrebbe potuto causare fermi operativi prolungati, con impatti economici e di sicurezza significativi. Il fallimento dell’attacco evidenzia l’efficacia delle difese esistenti, ma allo stesso tempo conferma che le infrastrutture critiche restano obiettivi prioritari nel confronto cyber tra Stati.

Risposta politica e rafforzamento normativo

A seguito dell’incidente, il governo polacco ha reagito con una mobilitazione immediata. Il 15 gennaio 2026, Donald Tusk ha convocato una riunione straordinaria con ministri e responsabili della sicurezza energetica e nazionale, ordinando l’impiego delle risorse a piena capacità. I servizi speciali hanno avviato indagini approfondite sui legami con entità russe e sull’eventuale presenza di persistenze residue.

Parallelamente, Varsavia ha accelerato l’iter di una nuova legge sulla cybersecurity nazionale, destinata a rafforzare la gestione del rischio, la protezione dei sistemi IT e OT e le procedure di risposta agli incidenti. Il provvedimento, che il presidente è pronto a firmare, punta anche a una maggiore autonomia tecnologica, riducendo le dipendenze estere nei sistemi di sicurezza e promuovendo una vera e propria “polonizzazione” della cybersecurity.

Sandworm e la continuità della cyberwar energetica

L’attacco con DynoWiper conferma che Sandworm continua a operare come strumento di pressione strategica nel contesto della guerra ibrida russa. Dal blackout ucraino del 2015 fino alle campagne wiper del 2022–2025, il gruppo ha dimostrato una continuità operativa e una capacità di adattamento che lo rendono una delle minacce più serie per le infrastrutture critiche europee.

Il caso polacco rappresenta un campanello d’allarme: anche quando un attacco viene sventato, il solo tentativo dimostra l’intenzione di testare difese, raccogliere informazioni e preparare operazioni future. In questo senso, DynoWiper non è solo un malware, ma un segnale strategico nel confronto tra sicurezza energetica, cyberspazio e geopolitica.

Domande frequenti su Sandworm DynoWiper