CERT Polska, el equipo polaco de respuesta a emergencias informáticas, reveló que los ciberataques coordinados se dirigieron a más de 30 parques eólicos y fotovoltaicos, a una empresa privada del sector manufacturero y a una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.

El incidente tuvo lugar el 29 de diciembre de 2025. La agencia ha atribuido los ataques a un grupo de amenazas denominado Tundra estática , que también aparece como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (anteriormente Bromine) y Havex. Se ha determinado que Static Tundra está vinculada a la unidad central 16 del Servicio Federal de Seguridad (FSB) de Rusia.

Vale la pena señalar que los informes recientes de ESET y Dragos atribuyó la actividad con una confianza moderada a otro grupo de hackers patrocinado por el estado ruso conocido como Sandworm.

«Todos los ataques tenían un objetivo puramente destructivo», CERT Polska dijo en un informe publicado el viernes. «Si bien los ataques a los parques de energía renovable interrumpieron la comunicación entre estas instalaciones y el operador del sistema de distribución, no afectaron a la producción actual de electricidad. Del mismo modo, el ataque a la central combinada de calor y electricidad no logró el efecto previsto por el atacante de interrumpir el suministro de calor a los usuarios finales».

Se dice que los atacantes accedieron a la red interna de subestaciones eléctricas asociada a una instalación de energía renovable para llevar a cabo actividades disruptivas y de reconocimiento, como dañar el firmware de los controladores, eliminar archivos del sistema o lanzar un malware limpiaparabrisas personalizado con el nombre en código DynoWiper de ESET.

En la intrusión dirigida contra la CHP, el adversario se dedicó a un robo de datos a largo plazo que se remonta a marzo de 2025, lo que le permitió aumentar sus privilegios y moverse lateralmente por la red. CERT Polska señaló que los intentos de los atacantes por detonar el malware que los limpiaba no tuvieron éxito.

Por otro lado, se cree que atacar a la empresa del sector manufacturero es oportunista, ya que el actor de la amenaza obtiene el acceso inicial a través de un dispositivo perimetral vulnerable de Fortinet. También es probable que el ataque dirigido contra el punto de conexión a la red implicara la explotación de un dispositivo FortiGate vulnerable.

Hasta la fecha se han descubierto al menos cuatro versiones diferentes de DynoWiper. Estas variantes se implementaron en los ordenadores HMI Mikronika utilizados por la planta energética y en una red compartida dentro de la CHP tras garantizar el acceso a través del servicio de portal SSL‑VPN de un dispositivo FortiGate.

«El atacante accedió a la infraestructura utilizando varias cuentas que estaban definidas estáticamente en la configuración del dispositivo y no tenían habilitada la autenticación de dos factores», dijo CERT Polska, detallando el modus operandi del actor dirigido a la CHP. «El atacante se conectó utilizando nodos de Tor, así como direcciones IP polacas y extranjeras, que a menudo se asociaban a infraestructuras comprometidas».

La funcionalidad del limpiaparabrisas es bastante sencilla -

  • Inicialización que implica la siembra de un generador de números pseudoaleatorios (PRNG) llamado Mersenne Twister
  • Enumere los archivos y corrompa con el PRNG
  • Eliminar archivos

Vale la pena mencionar aquí que el malware no tiene un mecanismo de persistencia, una forma de comunicarse con un servidor de comando y control (C2) o ejecutar comandos de shell. Tampoco intenta ocultar la actividad a los programas de seguridad.

CERT Polska dijo que el ataque dirigido contra la empresa del sector manufacturero implicó el uso de un limpiaparabrisas basado en PowerShell denominado LazyWiper que sobrescribe los archivos del sistema con secuencias pseudoaleatorias de 32 bytes para hacerlos irrecuperables. Se sospecha que la función principal de borrado se desarrolló utilizando un modelo de lenguaje de gran tamaño (LLM).

«El malware utilizado en el incidente relacionado con las granjas de energía renovable se ejecutó directamente en la máquina HMI», señaló CERT Polska. «Por el contrario, en la planta de cogeneración (DynoWiper) y en la empresa del sector manufacturero (LazyWiper), el malware se distribuía dentro del dominio de Active Directory mediante un script de PowerShell ejecutado en un controlador de dominio».

La agencia también describió algunas de las similitudes a nivel de código entre DynoWiper y otros limpiaparabrisas fabricados por Sandworm como de naturaleza «general» y no ofrece ninguna prueba concreta sobre si el actor de la amenaza participó en el ataque.

«El atacante utilizó credenciales obtenidas del entorno local para intentar acceder a los servicios en la nube», afirma CERT Polska. «Tras identificar las credenciales para las que existían las cuentas correspondientes en el servicio M365, el atacante descargó algunos datos de servicios como Exchange, Teams y SharePoint».

«El atacante estaba particularmente interesado en los archivos y mensajes de correo electrónico relacionados con la modernización de la red OT, los sistemas SCADA y el trabajo técnico llevado a cabo en las organizaciones».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.