Fin décembre 2025, une importante cyberattaque coordonnée a ciblé plusieurs infrastructures critiques en Pologne, dont plus de trente parcs éoliens et solaires, une entreprise manufacturière privée et une grande centrale de cogénération desservant près d'un demi-million d'habitants. L'attaque a été attribuée au groupe Static Tundra, lié au Service fédéral de sécurité (FSB) russe. Ce groupe est également connu sous d'autres noms tels que Berserk Bear, Energetic Bear et Dragonfly.

Les attaques, survenues le 29 décembre, étaient purement destructives. Bien qu'elles aient perturbé la communication entre les fermes d'énergies renouvelables et les gestionnaires du réseau de distribution, elles n'ont pas interrompu la production d'électricité. De même, les tentatives de perturbation de l'approvisionnement en chaleur de la centrale de cogénération ont échoué.

Les intrus ont accédé à des sous-stations électriques reliées à des installations d'énergies renouvelables, ce qui leur a permis de mener des activités de reconnaissance et de perturbation. Ils ont notamment endommagé le micrologiciel des contrôleurs, supprimé des fichiers système et déployé un logiciel malveillant spécifiquement conçu pour la destruction, connu sous le nom de DynoWiper, comme l'a identifié la société de cybersécurité ESET.

Dans le cas de la centrale de cogénération, les attaquants se sont également livrés à un vol de données prolongé depuis mars 2025. Ceci a facilité l'infiltration du réseau, même si les tentatives d'utilisation du logiciel malveillant de type « wiper » ont échoué. Pour le secteur manufacturier, l'attaque a probablement exploité des vulnérabilités des dispositifs de défense périmétrique, notamment des systèmes Fortinet non mis à jour.

Plusieurs versions de DynoWiper ont été identifiées, installées principalement sur des ordinateurs Mikronika HMI et des partages réseau au sein du CHP via des périphériques FortiGate compromis. Les attaquants ont exploité une infrastructure faiblement sécurisée, en tirant parti de comptes sans authentification à deux facteurs. Les connexions ont été établies via des nœuds Tor et diverses adresses IP compromises.

Le fonctionnement de ce logiciel malveillant de type « wiper » est relativement simple : il lance un générateur de nombres pseudo-aléatoires, énumère les fichiers, les corrompt, puis les supprime. Il est à noter que ce logiciel malveillant ne dispose d'aucun mécanisme de persistance ni de méthode permettant d'échapper à la détection par les systèmes de sécurité.

Une autre variante de logiciel malveillant, LazyWiper, a été utilisée contre une entreprise du secteur manufacturier. Ce programme d'effacement de données, basé sur PowerShell, remplace les fichiers par des séquences pseudo-aléatoires, les rendant irrécupérables. Il aurait été développé à l'aide d'un modèle de langage complexe.

Les attaques de logiciels malveillants contre les installations d'énergies renouvelables ont été exécutées directement sur les machines IHM. En revanche, les infections au sein de la centrale de cogénération et de l'entreprise de fabrication ont nécessité une distribution à l'échelle du domaine via des scripts PowerShell sur les contrôleurs de domaine.

De plus, des similitudes dans le code entre DynoWiper et d'autres logiciels malveillants conçus par le groupe Sandworm ont été identifiées, bien qu'aucune preuve concluante n'indique l'implication directe de Sandworm.

Les attaquants ont notamment tenté de pénétrer les services cloud en utilisant des identifiants volés dans les environnements sur site. Ils cherchaient à accéder aux services Microsoft 365, ciblant des informations techniques critiques relatives à la modernisation des réseaux et aux systèmes SCADA des organisations.

Ces résultats soulignent la menace persistante que représentent les groupes cybernétiques parrainés par des États et la nécessité de mesures de cybersécurité robustes pour protéger les infrastructures critiques.