À la fin de décembre 2025, une attaque dirigée contre l'infrastructure énergétique polonaise a montré clairement que la guerre dans le cyberespace continue de dépasser les fours et les missiles : l'offensive était liée à Sandworm, le groupe de cyberattaque associé aux services russes qui depuis des années a démontré sa capacité à causer des dommages physiques et logistiques par le biais de logiciels malveillants.
Le ver à sable - également tracé par certains analystes tels que UAC-0113, APT44 ou Seashell Blizzard - est un collectif que la communauté du renseignement et plusieurs sociétés de sécurité associent à l'unité militaire russe connue sous le nom de 74455 du GRU. Depuis sa rupture publique en 2009, elle a été une campagne majeure et parfois délibérément destructrice contre les objectifs civils et étatiques. Son record comprend le sabotage de l'approvisionnement en électricité en Ukraine il y a une décennie, un incident qui a laissé des centaines de milliers de personnes sans électricité et marqué un avant et après dans la perception du risque sur les systèmes de contrôle industriel.
Dans l'affaire polonaise, les autorités ont souligné que les actions étaient concentrées sur deux centrales de cogénération et un système de gestion des énergies renouvelables, chargé de coordonner les ressources telles que les parcs éoliens et photovoltaïques. Des sources officielles ont noté que "tout point" à la participation d'acteurs liés aux services russes; la déclaration du Gouvernement polonais reflète la gravité de l'attaque et les mesures prises pour la contenir et protéger les réseaux concernés. Le communiqué officiel est disponible sur le site web du gouvernement polonais: La Pologne projette des cyberattaques sur les infrastructures énergétiques.
Les analystes de la firme ESET ont attribué la campagne à Sandworm et ont noté l'utilisation d'un nouveau projet de programme de données nommé par l'industrie comme DynoWiper. Les "wipers" sont des outils conçus pour voyager les systèmes de fichiers et pour supprimer l'information de manière massive; leur exécution non seulement détruit les données, mais laisse généralement le système d'exploitation inutilisable, forçant des récupérations complètes de sauvegarde ou de réinstallation. ESET identifie DynoWiper avec le Win32 / KillFiles. La détection par l'OMN et a publié un hash associé SHA-1, qui aide les équipes de réponse à comparer les artefacts; la page principale d'ESET offre le contexte de leur analyse: ESET.
L'échantillon concret de ce projet n'a pas encore paru dans les dépôts publics habituels, selon les rapports de recherche journalistique. les sites d'envoi de logiciels malveillants tels que VirusTotal, Any. Run ou Triage ne montrent pas, du moins publiquement, un échantillon indexé de DynoWiper lié à cet incident, un détail qui complique l'analyse ouverte et la vérification indépendante par la communauté technique; BleepingComputer a couvert ces limitations dans son suivi de la nouvelle: Calculateur.
L'ombre de l'expérience passée en Europe de l'Est rend cette opération particulièrement inquiétante. En décembre 2015, Sandworm a été tenu responsable d'une attaque qui a laissé environ 230 000 consommateurs sans électricité en Ukraine, un précédent qui a montré que le risque n'est plus théorique: la cyberattaque peut entraîner des pannes de courant et des interruptions de service essentielles. Cette leçon montre pourquoi les services essentiels devraient prioriser la résilience, depuis les stratégies de segmentation du réseau jusqu'aux plans de récupération valides et aux sauvegardes déconnectées.
Au-delà de l'attribution et de la signature de logiciels malveillants, l'une des questions techniques auxquelles il reste à répondre est la durée pendant laquelle les attaquants sont restés dans les environnements compromis avant d'activer le projet et quel était le chemin d'intrusion initial : exploitation des vulnérabilités, courriels à puce rapide, accès par des comptes avec des lettres d'identité volées ou mouvements latéraux d'un écart indépendant sont des scénarios plausibles. Pour les équipes de sécurité cherchant à renforcer les défenses, les experts recommandent d'examiner les recherches récentes sur l'activité de Sandworm et de ses sous-groupes; Microsoft a publié en février 2025 un rapport complet sur les campagnes connexes qui peuvent servir de guide pour identifier les indicateurs d'engagement et les tactiques pertinentes: Microsoft : La campagne BadPilot.
En 2025, les analystes avaient déjà suivi les pouvoirs de Sandworm vers des incidents destructeurs en Ukraine qui touchaient des secteurs tels que l'éducation, l'administration publique et la logistique agricole à différents moments de l'année. Cette continuité opérationnelle montre une tendance à la répétition et à l'évolution des outils, qui vont de la récupération facile à des variantes plus agressives ou plus difficiles à analyser publiquement, ce qui incarne l'atténuation internationale et la responsabilité.
L'épisode polonais remplace les questions politiques et techniques sur la table simultanément. Au niveau politique, lier une attaque à un acteur étatique soulève des questions sur la réponse multilatérale et la dissuasion au niveau cybernétique. Sur le plan technique, il rappelle trois priorités pratiques : vérifier et tester les secours pour s'assurer qu'ils sont récupérables; renforcer la segmentation et l'accès aux réseaux de contrôle industriel pour minimiser les mouvements latéraux; et accroître la visibilité de la télémétrie pour détecter les activités inhabituelles avant qu'elles ne deviennent des destructions massives de données.
Pour les responsables de la sécurité et les opérateurs d'infrastructures essentielles, la conclusion est forte: les menaces sont persistantes, sophistiquées et, entre les mains d'acteurs ayant une capacité d'État, ne se limitent pas à l'espionnage ou à l'exfiltration, mais peuvent devenir des attaques qui paralysent les services. La combinaison d'intelligence partagée, de réponse coordonnée entre les entreprises et les États, et de mesures techniques robustes est la meilleure défense pratique aujourd'hui. Ceux qui souhaitent approfondir les tactiques, les techniques et les indicateurs associés à Sandworm ont dans l'analyse des entreprises de cybersécurité et dans les rapports publics des grands fabricants une base pour la mise à jour des protocoles et des détections; outre le rapport Microsoft susmentionné, suivant les centres d'intervention nationaux et les laboratoires privés permet de suivre et de partager les leçons en temps réel.
L'histoire de l'attaque contre la Pologne n'est pas seulement une autre remarque dans la presse de sécurité : il est un rappel que les infrastructures modernes, en particulier celles qui intègrent la production distribuée et le cloud ou les systèmes de gestion locale, nécessitent un suivi et une coopération constants entre les secteurs. Dans un monde où le cyberconflit transcende les frontières, la résilience des services essentiels est une responsabilité collective qui ne permet pas de reporter.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...