O governo da Polônia atribuiu a um grupo de hackers apoiado pelo serviço de inteligência da Rússia uma série de ataques cibernéticos coordenados que atingiram mais de 30 usinas eólicas e solares, uma empresa do setor industrial e uma central de cogeração que abastece quase meio milhão de pessoas. Os ataques ocorreram em 29 de dezembro de 2025. Segundo o CERT Polska, os responsáveis são do grupo conhecido como Static Tundra, também identificado por nomes como Berserk Bear, Dragonfly e Energetic Bear, todos ligados ao FSB (Serviço Federal de Segurança da Rússia). Os ataques tinham como objetivo a destruição de sistemas e dados.
Embora a produção de energia não tenha sido afetada, houve interrupções na comunicação entre as usinas e o operador da rede de distribuição. A central de cogeração também sofreu uma tentativa de sabotagem que não conseguiu interromper o fornecimento de calor aos usuários. Os invasores comprometeram redes internas, corromperam firmwares, deletaram arquivos do sistema e implantaram malwares destrutivos como o DynoWiper, detectado pela ESET. Em outra frente, um ataque à empresa industrial aproveitou falhas em dispositivos Fortinet para ganhar acesso, demonstrando uma exploração oportunista.
Quatro variantes do DynoWiper foram encontradas em equipamentos HMI e compartilhamentos de rede. A distribuição do malware ocorreu via scripts PowerShell executados a partir de controladores de domínio, afetando inclusive serviços de nuvem como Exchange e SharePoint por meio de credenciais roubadas. Outro malware usado, o LazyWiper, sobrescrevia arquivos com dados aleatórios para tornar a recuperação impossível. Há suspeitas de que ele tenha sido desenvolvido com auxílio de modelos de linguagem baseados em IA. Apesar da sofisticação dos ataques, os malwares utilizados não possuíam mecanismos de persistência nem de comunicação com servidores de comando e controle, atuando apenas para causar danos diretos.
