Un rapporto del CERT Polska ha descritto una serie di attacchi informatici coordinati contro infrastrutture critiche in Polonia, con un focus particolare sul settore energetico. Il 29 dicembre 2025, oltre 30 impianti eolici e fotovoltaici sono stati presi di mira insieme a una grande centrale di cogenerazione che fornisce calore a quasi mezzo milione di utenti e a una società del comparto manifatturiero. Secondo l’analisi, l’obiettivo degli attaccanti era puramente distruttivo, puntando a interrompere operazioni e comunicazioni più che a ottenere un impatto immediato sulla produzione.

Attacchi alle fattorie rinnovabili

Nel caso delle fattorie rinnovabili, gli aggressori avrebbero ottenuto accesso alla rete interna di sottostazioni elettriche collegate agli impianti, svolgendo attività di ricognizione e sabotaggio. Tra le azioni osservate figurano il danneggiamento del firmware di controller, la cancellazione di file di sistema e l’uso di un wiper personalizzato noto come DynoWiper. Nonostante la compromissione, le interruzioni hanno riguardato soprattutto la comunicazione con l’operatore di distribuzione, senza bloccare la produzione di energia.

Compromissione della centrale di cogenerazione

Per la centrale di cogenerazione, il rapporto parla di un percorso più lungo e strutturato: esfiltrazione di dati avviata mesi prima, escalation dei privilegi e movimento laterale nella rete. Il tentativo di attivare il wiper non avrebbe raggiunto il risultato sperato.

Un elemento chiave emerso riguarda l’accesso tramite portale SSL VPN di dispositivi FortiGate, con l’uso di account presenti nella configurazione e privi di autenticazione a due fattori. Le connessioni sarebbero avvenute anche tramite nodi Tor e indirizzi IP legati a infrastrutture compromesse.

Varianti e funzionamento di DynoWiper

Sono state identificate almeno quattro varianti di DynoWiper, distribuite su computer HMI Mikronika e su condivisioni di rete. Il funzionamento del wiper è lineare: inizializza un generatore pseudocasuale, corrompe i file e poi li elimina. Non sono stati osservati meccanismi di persistenza o comunicazione con server di comando e controllo.

Settore manifatturiero e LazyWiper

Nel settore manifatturiero, l’attacco appare opportunistico e collegato allo sfruttamento di un dispositivo Fortinet esposto. Qui è stato usato un wiper PowerShell chiamato LazyWiper, che sovrascrive i file con sequenze pseudocasuali per renderli irrecuperabili, con il sospetto che parte della logica sia stata sviluppata con un modello linguistico.