Le 29 décembre 2025, il a été marqué par une opération coordonnée contre l'infrastructure énergétique polonaise qui a touché plus de 30 installations renouvelables - parcs éoliens et photovoltaïques -, une entreprise manufacturière et une grande cogénération qui fournit du chauffage à des centaines de milliers de ménages. La notification publique la plus détaillée provient de CERT Pologne, qui décrit une attaque conçue pour causer des dommages aux environnements opérationnels et laisse des questions sur les défenses qui protègent les réseaux critiques.
Quant à l'auteur, le rapport de CERT Polska attribue la campagne à une série de menaces qu'ils appellent Tundra statique, regroupés historiquement avec des appels tels que Berserk Bear ou Energy Bear et liés dans son analyse à l'unité russe FSB 16. D'autres analyses publiques ont mis en évidence des liens avec un autre acteur de l'État russe identifié comme étant Sandworm; des sociétés de cybersécurité telles que ESET et Drago ont publié des recherches qui, avec différents niveaux de confiance, établissent des liens techniques et tactiques avec ce groupe. Ce type de divergence n'est pas inhabituel dans les compétences complexes : les chevauchements d'outils, de modèles et d'objectifs permettent des hypothèses différentes mais offrent rarement des conclusions partiales.
Les attaquants ont pu pénétrer les réseaux associés aux sous-stations et aux systèmes de contrôle industriels. Dans plusieurs cas, ils ont accédé aux ordinateurs HMI (interface homme-machine) de fabricants tels que Mikronika, et aux réseaux d'entreprise qui fournissent les environnements OT. CERT Polska décrit les activités de reconnaissance profonde, la manipulation du firmware dans les contrôleurs et l'implantation de logiciels malveillants destructeurs, tandis que dans l'usine de cogénération les intrus sont présents depuis mars 2025 pour supprimer les informations qui leur ont permis de grimper les privilèges et de se déplacer latéralement dans le réseau.
La composante destructrice la plus importante a été identifiée sous le nom DynoWiper, un projet de logiciel malveillant qui a été trouvé dans plusieurs variantes. Son mode de fonctionnement, selon l'analyse, est relativement direct: le code initie un générateur de nombre pseudo-aléatoire basé sur l'algorithme Mersenne Twister, exécute des systèmes de fichiers pour corrompre les fichiers et élimine l'information, mais n'intègre pas des mécanismes sophistiqués de persistance, de commande et de contrôle ou des techniques d'utilisation avancées. En parallèle, l'intrusion contre l'entreprise de fabrication a détecté un projet développé dans PowerShell appelé LazyWiper qui écrase les fichiers avec 32 octets pseudo-random séquences; les chercheurs soupçonnent que la logique de l'effacement a pu être assistée par un modèle de langue.
La distribution et le vecteur initial utilisés dans plusieurs des incidents révèlent une faiblesse récurrente: Les périphériques de périmètre FortiGate avec des configurations vulnérables et des portails SSL-VPN exposés ont fourni un point d'entrée. CERT Polska note que les comptes avec lesquels il a été accédé étaient statiques dans la configuration, sans authentification de deux facteurs, et que les connexions provenaient des deux nœuds Comme des infrastructures engagées de différents pays. Ces résultats mettent en évidence une combinaison de défaillances de patching, de configurations dangereuses et de lacunes dans le renforcement de l'accès à distance; Fortinet maintient un canal public pour les avertissements et les patchs qui devraient être examinés régulièrement sur son site de sécurité ( Fortinet Sécurité des produits).
Une autre préoccupation était la réutilisation des références et l'augmentation du nombre d'environnements locaux vers les services cloud. Après avoir identifié des comptes synchronisés avec Microsoft 365, les attaquants ont téléchargé des informations depuis Exchange, Teams et SharePoint ; les objectifs comprenaient des documents et des courriels liés à la modernisation des systèmes OT et SCADA. Cette combinaison d'attaque locale et d'exfiltration nuageuse démontre pourquoi il est essentiel de protéger les identités et l'accès dans les deux domaines : en pratique, compromettre un VPN ou un contrôleur de domaine peut ouvrir la porte aux données cloud s'il n'y a pas de contrôles supplémentaires. Microsoft propose des recommandations sur la façon de déployer l'authentification multifactorielle et de protéger les identités dans Azure AD ( Microsoft MFA Guide).
D'un point de vue opérationnel, les résultats ont été mitigés: les interruptions dans les parcs renouvelables ont affecté les communications avec l'exploitant du réseau, mais n'ont pas empêché la production d'électricité; les tentatives de couper l'approvisionnement en chaleur de la centrale de cogénération n'ont pas atteint son objectif final, selon CERT Polska. Cependant, les dommages matériels et le stress sur la résilience du système sont réels : la modification du firmware, la destruction des fichiers et la perte temporaire de visibilité compliquent la gestion et la récupération, et augmentent le risque de conséquences plus graves dans les incidents futurs.
Les leçons techniques sont claires : assurer des portails périmétrals et VPN avec des correctifs et configurations appropriés, imposer une authentification multifactorielle pour l'accès administratif, minimiser les comptes et les mots de passe intégrés dans les configurations, segmenter les réseaux OT et IT pour limiter les mouvements latéraux, et maintenir une sauvegarde hors ligne qui permet des restaurations après l'effacement des attaques. En outre, la détection précoce et la coordination des interventions entre les opérateurs, les fabricants et les autorités sont essentielles; des organismes tels que les CISA ils publient des guides et des avis sur les pratiques de sécurité dans les systèmes industriels qui sont utiles aux exploitants d'infrastructures essentielles.
Nous devons également réfléchir à la nature changeante des outils malveillants. Les gommes observées manquaient de fonctions sophistiquées de contrôle et de contrôle, ce qui n'est pas un danger: un code simple, bien dirigé et exécuté au bon moment peut causer de grands dommages. Dans le même temps, l'assistance possible des modèles linguistiques dans la génération de modules d'effacement indique un nouveau vecteur d'accélération dans la capacité technique des attaquants avec des ressources modérées.
En fin de compte, cet incident en Pologne rappelle que la sécurité de l'approvisionnement énergétique dépend à la fois de la robustesse des logiciels et du matériel ainsi que des pratiques de base en cyberhygiene et en coopération internationale. La transparence des rapports publics, la diffusion des indicateurs d'engagement et la collaboration entre le secteur privé et les organismes d'intervention sont des facteurs qui accroissent la capacité de défense collective. Pour ceux qui gèrent les infrastructures essentielles, la recommandation sous-jacente est claire : prévoir, corriger, segmenter et vérifier constamment, et le faire en coordination avec les organismes nationaux et les fournisseurs de sécurité.
Le rapport de la Commission CERT Pologne, recherche et bulletins d'entreprises de cybersécurité ESET et des ressources sectorielles Drago en plus des pages consultatives des fabricants et des agences Fortinet, CISA et documentation sur la protection des Microsoft. La sécurité de l'environnement énergétique n'est pas un problème d'une journée : elle nécessite des investissements soutenus et une surveillance continue.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...