Nhóm tin tặc do nhà nước Nga hậu thuẫn được biết đến với tên gọi Sandworm đã bị quy kết là thủ phạm của cái được mô tả là "cuộc tấn công mạng lớn nhất" nhắm vào hệ thống điện của Ba Lan vào tuần cuối cùng của tháng 12 năm 2025.
Bộ trưởng Năng lượng Ba Lan, Milosz Motyka, tuần trước cho biết cuộc tấn công này đã không thành công.
Ông Motyka được trích dẫn nói rằng: "Bộ chỉ huy các lực lượng không gian mạng đã chẩn đoán đây là cuộc tấn công mạnh nhất vào cơ sở hạ tầng năng lượng trong những ngày cuối năm."
Theo một báo cáo mới của ESET, cuộc tấn công này là do Sandworm thực hiện, nhóm này đã triển khai một loại mã độc wiper chưa được ghi nhận trước đây có tên mã là DynoWiper. Các liên kết đến Sandworm dựa trên sự trùng lặp với các hoạt động wiper trước đây liên quan đến đối thủ này, đặc biệt là sau hậu quả của cuộc xâm lược quân sự của Nga vào Ukraine vào tháng 2 năm 2022.
Công ty an ninh mạng Slovakia, đơn vị đã xác định việc sử dụng mã độc wiper này trong khuôn khổ nỗ lực tấn công gây gián đoạn nhắm vào lĩnh vực năng lượng Ba Lan vào ngày 29 tháng 12 năm 2025, cho biết không có bằng chứng về sự gián đoạn thành công.
Các cuộc tấn công vào ngày 29 và 30 tháng 12 năm 2025, đã nhắm vào hai nhà máy nhiệt điện kết hợp (CHP), cũng như một hệ thống quản lý điện năng được tạo ra từ các nguồn năng lượng tái tạo như tua-bin gió và trang trại quang điện, chính phủ Ba Lan cho biết.
Thủ tướng Donald Tusk cho biết: "Mọi thứ đều cho thấy những cuộc tấn công này được chuẩn bị bởi các nhóm có liên hệ trực tiếp với các dịch vụ của Nga," đồng thời nói thêm rằng chính phủ đang chuẩn bị các biện pháp bảo vệ bổ sung, bao gồm một luật an ninh mạng quan trọng sẽ áp đặt các yêu cầu nghiêm ngặt về quản lý rủi ro, bảo vệ các hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT), cũng như ứng phó sự cố.
Đáng chú ý, hoạt động này diễn ra vào kỷ niệm mười năm cuộc tấn công của Sandworm vào lưới điện Ukraine vào tháng 12 năm 2015, dẫn đến việc triển khai mã độc BlackEnergy, khiến một phần vùng Ivano-Frankivsk của Ukraine chìm trong bóng tối.
Mã độc trojan này, được sử dụng để cài đặt một mã độc wiper có tên KillDisk, đã gây ra sự cố mất điện kéo dài 4-6 giờ cho khoảng 230.000 người.
Lịch sử tấn công của Sandworm
"Sandworm có lịch sử lâu dài về các cuộc tấn công mạng gây gián đoạn, đặc biệt là vào cơ sở hạ tầng quan trọng của Ukraine," ESET cho biết. "Chỉ một thập kỷ sau, Sandworm vẫn tiếp tục nhắm mục tiêu vào các tổ chức hoạt động trong nhiều lĩnh vực cơ sở hạ tầng quan trọng khác nhau."
Vào tháng 6 năm 2025, Cisco Talos cho biết một thực thể cơ sở hạ tầng quan trọng ở Ukraine đã bị nhắm mục tiêu bởi một mã độc wiper dữ liệu chưa từng thấy trước đây có tên PathWiper, loại mã độc này có một số mức độ chồng chéo về chức năng với HermeticWiper của Sandworm.
Nhóm tin tặc Nga cũng đã được ghi nhận triển khai các mã độc xóa dữ liệu, như ZEROLOT và Sting, trong một mạng lưới trường đại học Ukraine, sau đó phục vụ nhiều biến thể mã độc xóa dữ liệu chống lại các thực thể Ukraine hoạt động trong các lĩnh vực chính phủ, năng lượng, logistics và ngũ cốc từ tháng 6 đến tháng 9 năm 2025.
