O CERT Polska, equipe polonesa de resposta a emergências em computadores, revelou que ataques cibernéticos coordenados atingiram mais de 30 usinas eólicas e solares, uma empresa privada do setor industrial e uma grande usina termelétrica combinada (CHP) que fornece aquecimento para quase meio milhão de clientes na Polônia.
O incidente ocorreu em 29 de dezembro de 2025.
A agência atribuiu os ataques a um grupo de ameaças conhecido como Static Tundra, também identificado por nomes como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (antigo Bromine) e Havex.
Essa ameaça está associada à unidade 16 do Serviço Federal de Segurança da Rússia (FSB).
Entretanto, relatórios recentes das empresas ESET e Dragos indicam, com confiança moderada, que a atividade pode ter sido realizada por outro grupo russo patrocinado pelo Estado, denominado Sandworm.
Segundo o CERT Polska, todos os ataques tiveram caráter puramente destrutivo.
Embora as ações contra as fazendas de energia renovável tenham interrompido a comunicação entre essas instalações e o operador do sistema de distribuição, a geração de eletricidade não chegou a ser comprometida.
Da mesma forma, o ataque à usina termelétrica não interrompeu o fornecimento de aquecimento aos usuários finais.
Os invasores obtiveram acesso à rede interna das subestações associadas a uma das instalações renováveis para realizar reconhecimento e ações disruptivas, como danificar o firmware dos controladores, apagar arquivos do sistema e executar um malware destruidor personalizado chamado DynoWiper, identificado pela ESET.
Na intrusão que teve como alvo a usina termelétrica combinada, os atacantes mantiveram roubo de dados desde março de 2025, o que lhes permitiu escalar privilégios e se movimentar lateralmente pela rede.
Tentativas de ativar o malware destruidor não foram bem-sucedidas, conforme destacou o CERT Polska.
Já o ataque contra a empresa do setor industrial parece ter sido oportunista, iniciando-se pelo acesso a um dispositivo Fortinet vulnerável na borda da rede.
A investida que visou o ponto de conexão à rede elétrica provavelmente explorou uma falha em um equipamento FortiGate.
Até o momento, foram detectadas pelo menos quatro versões diferentes do DynoWiper.
Essas variantes foram implantadas em computadores HMI da Mikronika, usados na instalação de energia, e em compartilhamentos de rede dentro da usina termelétrica, após o acesso via portal SSL‑VPN em um dispositivo FortiGate.
O CERT Polska detalhou o modus operandi empregado para atacar a usina termelétrica: os invasores usaram múltiplas contas com credenciais estáticas configuradas no dispositivo, sem autenticação de dois fatores.
O acesso foi realizado por meio de nós da rede Tor, além de endereços IP poloneses e estrangeiros, muitas vezes ligados a infraestruturas comprometidas.
O wiper apresenta funcionamento relativamente simples: inicializa um gerador de números pseudorrandômicos (PRNG) Mersenne Twister, identifica arquivos, corrompe-os usando esse PRNG e, por fim, apaga os arquivos.
O malware não possui mecanismo de persistência, comunicação com servidores de comando e controle (C2), nem executa comandos shell ou tenta se ocultar de programas de segurança.
No ataque à empresa industrial, foi utilizado um wiper baseado em PowerShell chamado LazyWiper, que sobrescreve arquivos com sequências pseudorrandômicas de 32 bytes para torná-los irrecuperáveis.
Suspeita-se que a funcionalidade central tenha sido desenvolvida com auxílio de um modelo de linguagem grande (LLM).
De acordo com o CERT, o malware do ataque às fazendas renováveis foi executado diretamente nas máquinas HMI.
Em contraste, nas operações na usina termelétrica (DynoWiper) e na empresa industrial (LazyWiper), os malwares foram distribuídos no domínio Active Directory por meio de scripts PowerShell rodados em controladores de domínio.
A agência ressaltou que as semelhanças no código entre DynoWiper e outros wipers atribuídos ao grupo Sandworm são genéricas, não oferecendo evidências concretas de envolvimento desse ator no ataque.
Além disso, os invasores usaram credenciais obtidas no ambiente local para tentar acessar serviços na nuvem.
Após identificar contas válidas no Microsoft 365, baixaram dados selecionados dos serviços Exchange, Teams e SharePoint.
O foco principal estava em arquivos e mensagens de e-mail relacionados à modernização da rede OT, sistemas SCADA e trabalhos técnicos internos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...