Le groupe de pirates informatiques étatique russe connu sous le nom de Sandworm a été accusé de ce qui a été décrit comme la « plus grande cyberattaque » visant le réseau électrique polonais au cours de la dernière semaine de décembre 2025.

L’attaque a échoué, a déclaré la semaine dernière le ministre de l’Énergie du pays, Milosz Motyka.

« Le commandement des forces cybernétiques a diagnostiqué, au cours des derniers jours de l’année, la plus forte attaque contre l’infrastructure énergétique depuis des années », a déclaré Motyka, selon les propos rapportés.

D’après un nouveau rapport d’ESET, l’attaque est l’œuvre de Sandworm, qui a déployé un logiciel malveillant de type « wiper » jusque-là inconnu, nommé DynoWiper . Les liens avec Sandworm reposent sur des similitudes avec des activités de « wiper » antérieures associées à cet adversaire, notamment après l’ invasion militaire russe de l’Ukraine en février 2022.

La société slovaque de cybersécurité, qui a identifié l’utilisation de l’outil de piratage dans le cadre de la tentative d’attaque perturbatrice visant le secteur énergétique polonais le 29 décembre 2025, a déclaré qu’il n’y avait aucune preuve de perturbation réussie.

Les attaques des 29 et 30 décembre 2025 ont ciblé deux centrales de cogénération, ainsi qu’un système permettant la gestion de l’électricité produite à partir de sources d’énergie renouvelables telles que les éoliennes et les fermes photovoltaïques, a déclaré le gouvernement polonais.

« Tout indique que ces attaques ont été préparées par des groupes directement liés aux services russes », a déclaré le Premier ministre Donald Tusk , ajoutant que le gouvernement met en place des mesures de protection supplémentaires, notamment une législation clé sur la cybersécurité qui imposera des exigences strictes en matière de gestion des risques, de protection des systèmes informatiques et opérationnels, et de réponse aux incidents.

Il convient de noter que cette activité s’est produite le jour du dixième anniversaire de l’attaque du ver des sables contre le réseau électrique ukrainien en décembre 2015, qui a conduit au déploiement du logiciel malveillant BlackEnergy, plongeant dans le noir une partie de la région d’Ivano-Frankivsk en Ukraine.

Le cheval de Troie, utilisé pour installer un logiciel malveillant de type « effacement » baptisé KillDisk, a provoqué une panne de courant de 4 à 6 heures pour environ 230 000 personnes.

« Sandworm a un long historique de cyberattaques perturbatrices, notamment contre les infrastructures critiques ukrainiennes », a déclaré ESET. « Dix ans plus tard, Sandworm continue de cibler des entités opérant dans divers secteurs d’infrastructures critiques. »

En juin 2025, Cisco Talos a déclaré qu’une entité d’infrastructure critique en Ukraine avait été ciblée par un logiciel malveillant d’effacement de données inédit nommé PathWiper , qui présente un certain niveau de similitude fonctionnelle avec HermeticWiper de Sandworm .

Le groupe de pirates informatiques russe a également été observé en train de déployer des logiciels malveillants d’effacement de données, tels que ZEROLOT et Sting, sur le réseau d’une université ukrainienne, puis de diffuser de multiples variantes de ces logiciels malveillants contre des entités ukrainiennes actives dans les secteurs gouvernemental, énergétique, logistique et céréalier entre juin et septembre 2025.