CERT Polska, l'équipe polonaise d'intervention d'urgence en matière de cybersécurité, a révélé que des cyberattaques coordonnées ont ciblé plus de 30 parcs éoliens et photovoltaïques, une entreprise privée du secteur manufacturier et une grande centrale de production combinée de chaleur et d'électricité (CHP) qui fournit de la chaleur à près d'un demi-million de clients dans le pays.
L'incident a eu lieu le 29 décembre 2025. L'agence a attribué les attaques à un groupe menaçant appelé Static Tundra, également suivi sous les noms de Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard (anciennement Bromine) et Havex. Static Tundra est considéré comme lié à l'unité Centre 16 du Service fédéral de sécurité (FSB) russe.
Il convient de noter que des rapports récents d'ESET et de Dragos attribuent cette activité, avec une confiance modérée, à un autre groupe de piratage parrainé par l'État russe, connu sous le nom de Sandworm.
“Toutes les attaques avaient un objectif purement destructeur”, a indiqué le CERT Polska dans un rapport publié vendredi. “Bien que les attaques contre les fermes d'énergie renouvelable aient perturbé la communication entre ces installations et le gestionnaire du réseau de distribution, elles n'ont pas affecté la production actuelle d'électricité. De même, l'attaque contre la centrale de cogénération de chaleur et d'électricité n'a pas produit l'effet escompté par l'attaquant, à savoir perturber l'approvisionnement en chaleur des utilisateurs finaux.”
Les attaquants auraient accédé au réseau interne de sous-stations électriques associées à une installation d'énergie renouvelable pour mener des activités de reconnaissance et de perturbation, notamment la corruption du micrologiciel du contrôleur, la suppression de fichiers système ou le lancement d'un malware d'effacement personnalisé nommé DynoWiper d'ESET.
Dans l’intrusion ciblant le CHP, l’adversaire s’est livré à un vol de données à long terme remontant à mars 2025, lui permettant d’élever ses privilèges et de se déplacer latéralement à travers le réseau. Les tentatives des attaquants pour faire exploser le malware plus propre ont échoué, a noté le CERT Polska.
D’un autre côté, cibler l’entreprise manufacturière est considéré comme opportuniste, dans la mesure où l’acteur malveillant obtient un premier accès via un appareil périphérique Fortinet vulnérable. L'attaque ciblant le point de connexion réseau impliquait probablement également l'exploitation d'un appareil FortiGate vulnérable.
Au moins quatre versions différentes de DynoWiper ont été découvertes à ce jour. Ces variantes ont été déployées sur les ordinateurs IHM Mikronika utilisés par la centrale électrique et sur un réseau partagé au sein de la cogénération après avoir sécurisé l'accès via le service de passerelle SSL-VPN d'un appareil FortiGate.
“L'attaquant a accédé à l'infrastructure en utilisant plusieurs comptes définis de manière statique dans les paramètres de l'appareil et n'ayant pas activé l'authentification à deux facteurs”, a déclaré le CERT Polska, détaillant le mode opératoire de l'acteur ciblant le CHP. “L'attaquant s'est connecté à l'aide de nœuds Tor, ainsi que d'adresses IP polonaises et étrangères, souvent associées à l'infrastructure compromise.”
La fonctionnalité du nettoyeur est assez simple :
- Initialisation impliquant l'amorçage d'un générateur de nombres pseudo-aléatoires (PRNG) appelé Mersenne Twister
- Répertorier les fichiers et les corrompre à l'aide du PRNG
- Supprimer des fichiers
Il convient de mentionner ici que le malware ne dispose pas de mécanisme de persistance, de moyen de communiquer avec un serveur de commande et de contrôle (C2) ou d'exécuter des commandes shell. Il ne tente pas non plus de cacher l'activité des programmes de sécurité.
CERT Polska a déclaré que l'attaque visant l'entreprise de fabrication impliquait l'utilisation d'un effaceur basé sur PowerShell appelé LazyWiper qui écrase les fichiers du système avec des séquences pseudo-aléatoires de 32 octets pour les rendre irrécupérables. On soupçonne que la fonctionnalité de nettoyage de base a été développée à l'aide d'un grand modèle de langage (LLM).
“Le malware utilisé lors de l'incident lié aux fermes d'énergie renouvelable a été exécuté directement sur la machine IHM”, a noté CERT Polska. “En revanche, dans l'usine de cogénération (DynoWiper) et dans l'entreprise de fabrication (LazyWiper), le malware a été distribué au sein du domaine Active Directory via un script PowerShell exécuté sur un contrôleur de domaine.”
L'agence a également décrit certaines des similitudes au niveau du code entre DynoWiper et d'autres essuie-glaces construits par Sandworm comme étant de nature « générale » et n'offre aucune preuve concrète quant à la participation de l'acteur menaçant à l'attaque.
“L'attaquant a utilisé les informations d'identification obtenues à partir de l'environnement local pour tenter d'accéder aux services cloud”, a déclaré CERT Polska. “Après avoir identifié les informations d'identification pour lesquelles les comptes correspondants existaient dans le service M365, l'attaquant a téléchargé des données sélectionnées à partir de services tels qu'Exchange, Teams et SharePoint.”
“L'attaquant était particulièrement intéressé par les fichiers et les e-mails liés à la modernisation des réseaux OT, aux systèmes SCADA et aux travaux techniques effectués au sein des organisations.”
