Noticia ampliada
• El ataque, atribuido al grupo Sandworm, pone de relieve el impacto de los wipers y la necesidad de proteger infraestructuras críticas frente a amenazas destructivas.
• ESET Research atribuye DynoWiper al grupo de amenazas Sandworm, alineado con Rusia, con un nivel de confianza medio.
• El incidente constituye un caso infrecuente y no documentado previamente en el que un actor de amenazas alineado con Rusia despliega malware destructivo contra el sector energético en Polonia.
Los investigadores de ESET han identificado un nuevo malware destructivo, al que han denominado DynoWiper, utilizado en un ataque dirigido contrael sector energético en Polonia. Este tipo de amenazas, conocidas como wipers, no buscan el robo de información, sino inutilizar los sistemas afectados mediante el borrado de datos, lo que puede provocar graves interrupciones operativas.
Durante la investigación, ESET Research observó que las tácticas, técnicas y procedimientos (TTP) empleados en el incidente de DynoWiper presentan similitudes claras con otros ataques previos atribuidos al grupo de amenazas Sandworm, alineado con Rusia. En concreto, los investigadores han encontrado paralelismos con el wiper ZOV, utilizado anteriormente en ataques destructivos contra organizaciones del sector financiero y energético.
El incidente analizado constituye un caso poco frecuente y no documentado previamente de despliegue de malware destructivo contra una empresa energética. A lo largo de 2025, ESET investigó más de diez incidentes relacionados con este tipo de amenazas, la mayoría de ellos atribuidos al mismo grupo de ciberamenazas. En este caso, el impacto del ataque fue limitado gracias a la detección y bloqueo del malware por parte de la solución EDR/XDR de ESET PROTECT, instalada en el entorno afectado. Además, CERT Polska realizó un excelente trabajo investigando el incidente y publicó un análisis detallado en un informe disponible en su página web.
Según el análisis de ESET Research, las muestras de DynoWiper se desplegaron en un directorio compartido dentro del dominio de una de las organizaciones atacadas. Los atacantes habrían probado previamente el funcionamiento del malware en entornos de prueba antes de intentar su ejecución en los sistemas de la víctima. En total, se identificaron tres muestras distintas del wiper, y todos los intentos de ejecución resultaron fallidos.
DynoWiper está diseñado para sobrescribir archivos con datos generados aleatoriamente, afectando tanto a unidades fijas como extraíbles. Para acelerar la destrucción, el malware borra completamente los archivos pequeños y sobrescribe parcialmente los de mayor tamaño. Una vez finalizado el proceso, fuerza el reinicio del sistema, dejando los equipos inoperables. A diferencia de otros malware atribuidos a Sandworm, como Industroyer o Industroyer2, DynoWiper se centra en el entorno de tecnologías de la información (IT) y no se han observado funcionalidades dirigidas específicamente a sistemas industriales de tecnología operativa (OT). No obstante, esta ausencia no descarta que dichas capacidades pudieran haber estado presentes en otras fases del ataque.
La investigación también ha permitido identificar múltiples similitudes técnicas entre DynoWiper y el wiper ZOV, tanto en la lógica de borrado de archivos como en la exclusión de determinados directorios. ZOV fue detectado previamente en ataques contra entidades financieras y empresas energéticas, y forma parte del conjunto de herramientas destructivas utilizadas por Sandworm.
Sandworm es un grupo de amenazas alineado con Rusia con una trayectoria de más de una década, responsable de ataques dirigidos contra organismos públicos y empresas de sectores estratégicos como energía, logística, transporte, telecomunicaciones y medios de comunicación. Estas operaciones suelen implicar el uso de malware diseñado para borrar datos y dejar los sistemas inutilizables.
Aunque la mayor parte de los ataques recientes de este grupo se han concentrado en Ucrania, la investigación de ESET confirma que también ha llevado a cabo operaciones destructivas contra organizaciones de otros países, incluidos incidentes previos en empresas energéticas y logísticas.
Para un análisis técnico más detallado de DynoWiper y Sandworm, puedes consultar el último blogpost de ESET Rsearch: “DynoWiper update: Technical analysis and attribution” en WeLiveSecurity.com. Sigue a ESET Research en X, BlueSky y Mastodon para estar al día de las últimas novedades del grupo de investigación de ESET.
