Em 29 de dezembro de 2025 foi marcado por uma operação coordenada contra a infra-estrutura energética polaca que afetou mais de trinta instalações renováveis — parques eólicos e fotovoltaicos —, uma empresa do sector industrial e uma grande central de co-geração que fornece aquecimento a centenas de milhares de famílias. A notificação pública mais detalhada veio de CERT Polska, que descreve um ataque pensado para causar danos aos ambientes operacionais e deixa questões sobre as defesas que protegem redes críticas.
Quanto à autoria, o relatório da CERT Polska atribui a campanha a um conjunto de ameaças que chamam Static Tundra, agrupado historicamente com apelativos como Berserk Bear ou Energetic Bear e relacionado em sua análise com a unidade 16 do FSB russo. Outras análises públicas apontaram vínculos com outro ator estatal russo identificado como Sandworm; assinaturas de cibersegurança como ESET e Dragos Publicou pesquisas que, com diferentes níveis de confiança, traçam conexões técnicas e táticas a esse grupo. Este tipo de divergências não é incomum em atribuições complexas: os sobreposições em ferramentas, padrões e objetivos permitem hipóteses distintas, mas raramente oferecem conclusões unívocas.
Os atacantes conseguiram penetrar redes associadas a subestações e sistemas de controle industrial. Em vários casos acederam a computadores HMI (interface homem-máquina) de fabricantes como Mikronika, e a redes corporativas que abastecem os ambientes OT. CERT Polska descreve atividades de reconhecimento profundo, manipulação de firmware em controladores e implantação de malware destruidor, enquanto na central de cogeração os intrusos mantiveram presença desde março de 2025 para suastrair informações que lhes permitiu escalar privilégios e mover-se lateralmente dentro da rede.
O componente destrutivo mais destacado foi identificado sob o nome DynoWiper, um projeto de software malicioso encontrado em várias variantes. Seu modo de operação, segundo a análise, é relativamente direto: o código inicializa um gerador de números pseudoaleatorios baseado no algoritmo Mersenne Twister, percorre sistemas de arquivos para corromper arquivos e elimina informações, mas sem integrar mecanismos sofisticados de persistência, comando e controle ou técnicas avançadas de ofuscação. Em paralelo, na intrusão contra a empresa transformadora foi detectado um rascunho desenvolvido em PowerShell apodado LazyWiper que descreve arquivos com sequências pseudo-aleatórias de 32 bytes; os pesquisadores suspeitam que a lógica de remoção pode ter sido assistida por um modelo de linguagem.
A distribuição e o vetor inicial usado em vários incidentes revela fraqueza recorrente: dispositivos perimetrales FortiGate com configurações vulneráveis e portais SSL-VPN expostos forneceram um ponto de entrada. CERT Polska aponta que as contas com as quais se concordou estavam definidas de forma estática na configuração, sem autenticação de dois fatores, e que as conexões provinham tanto de nodos Tor como infra-estruturas comprometidas de diferentes países. Esses achados sublinham uma combinação de falhas no adesivo, configurações inseguras e lacunas no fortalecimento de acessos remotos; Fortinet mantém um canal público para avisos e adesivos que convém rever periodicamente em seu site de segurança ( Fortinet Product Security).
Outro aspecto preocupante foi a reutilização de credenciais e a escalada de ambientes locais para serviços em nuvem. Após identificar contas sincronizadas com a Microsoft 365, os atacantes transferiram informações do Exchange, Teams e SharePoint; entre os objetivos de interesse figuravam documentos e e-mails relacionados à modernização de redes OT e sistemas SCADA. Essa combinação de ataque local mais exfiltração cloud demonstra por que é imprescindível proteger as identidades e o acesso em ambos os domínios: na prática, comprometer uma VPN ou um controlador de domínio pode abrir a porta a dados na nuvem se não houver controles adicionais. A Microsoft oferece recomendações sobre como implantar autenticação multifator e proteger identidades no Azure AD ( Guia MFA da Microsoft).
Do ponto de vista operacional, os resultados foram mistos: as interrupções em parques renováveis afetaram as comunicações com o operador da rede, mas não impediram a geração de eletricidade; as tentativas de cortar o fornecimento de calor desde a central de cogeração não conseguiram seu objetivo final, segundo CERT Polska. No entanto, o dano material e a tensão sobre a resiliência do sistema são reais: a modificação do firmware, a destruição de arquivos e a perda temporária de visibilidade complicam a gestão e a recuperação, e aumentam o risco de consequências mais graves em futuros incidentes.
As lições técnicas são claras: garantir dispositivos perimetrales e portais VPN com os adesivos e configurações adequadas, impor autenticação multifator para acessos administrativos, minimizar contas e senhas embebidas em configurações, segmentar redes OT e TI para limitar movimentos laterais, e manter cópias de segurança offline que permitam restaurações após ataques de remoção. Além disso, a detecção precoce e a resposta coordenada entre operadores, fabricantes e autoridades são críticas; agências como a CISA Eles publicam guias e avisos sobre práticas de segurança em sistemas industriais que são úteis para operadores de infra-estruturas críticas.
Também há que refletir sobre a natureza em mudança das ferramentas maliciosas. Os rascunhos observados careciam de funções de comando e controle sofisticadas, o que não resta perigo: um código simples, bem dirigido e executado no momento oportuno pode causar grandes danos. Ao mesmo tempo, a possível assistência de modelos de linguagem na geração de módulos de remoção aponta um novo vetor de aceleração na capacidade técnica de atacantes com recursos moderados.
Em última análise, este incidente na Polónia lembra que a segurança do fornecimento energético depende tanto da robustez do software e do hardware como de práticas básicas de ciber-higiene e cooperação internacional. A transparência nos relatórios públicos, a divulgação de indicadores de compromisso e a colaboração entre o sector privado e as agências de resposta são factores que aumentam a capacidade de defesa colectiva. Para quem gere infra-estruturas críticas, a recomendação subjacente é clara: antecipar, sistemaar, segmentar e auditar constantemente, e fazê-lo em coordenação com os organismos nacionais e os fornecedores de segurança.
Para aprofundar as análises técnicas e os comunicados oficiais, consultar o relatório CERT Polska, pesquisas e boletins de assinaturas de cibersegurança como ESET e os recursos sectoriais Dragos, além das páginas de aconselhamento de fabricantes e agências como Fortinet, CISA e documentação relativa à protecção das identidades Microsoft. A segurança do ambiente energético não é um problema de apenas um dia: exige investimento sustentado e vigilância permanente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...