No final de dezembro de 2025, um ataque dirigido contra a infra-estrutura energética da Polónia deixou claro que a guerra no ciberespaço continua a escalar para além dos fornos e mísseis: a ofensiva foi ligada ao Sandworm, o grupo de ataques cibernéticos associados aos serviços russos que tem demonstrado durante anos a sua capacidade de causar danos físicos e logísticos por software malicioso.
Sandworm — também rastreado por alguns analistas como UAC-0113, APT44 ou Seashell Blizzard — é um coletivo que a comunidade de inteligência e várias assinaturas de segurança associam a unidade militar russa conhecida como 74455 do GRU. Desde a sua irrupção pública em 2009 tem protagonizado campanhas disruptivas e, por vezes, deliberadamente destrutivas contra alvos civis e estaduais. O seu histórico inclui a sabotagem do fornecimento elétrico na Ucrânia há uma década, um incidente que deixou centenas de milhares de pessoas sem eletricidade e que marcou um antes e depois na percepção do risco sobre sistemas de controle industrial.
No caso polaco, as autoridades apontaram que as ações se concentraram em duas centrais de cogeração e em um sistema de gestão de energia renovável, encarregado de coordenar recursos como parques eólicos e fotovoltaicos. Fontes oficiais salientaram que "todo aponta" para o envolvimento de intervenientes ligados aos serviços russos; a declaração do Governo polaco recolhe a gravidade do ataque e as medidas tomadas para contenção e protecção das redes afectadas. O comunicado oficial pode ser consultado no site do Governo polaco: Poland stops cyberattacks on energy infrastructure.
Os analistas da firma ESET atribuíram a campanha a Sandworm e apontaram o uso de um novo programa rascunho de dados batizado pela indústria como DynoWiper. Os chamados "wipers" são ferramentas desenhadas para percorrer sistemas de ficheiros e remover informações em massa; a sua execução não só destrói dados, mas geralmente deixa o sistema operacional inservível, forçando recuperações completas desde cópias de segurança ou reinstalações. O ESET identifica DynoWiper com a detecção Win32/KillFiles.NMO e publicou um hash SHA-1 associado, o que ajuda os equipamentos de resposta a comparar artefatos; a página principal do ESET oferece contexto sobre suas análises: ESET.
A amostra concreta deste projeto não apareceu ainda nos repositórios públicos habituais, segundo relatos de pesquisa jornalística. Sites de envio de malware como VírusTotal, Any.Run ou Triage não mostram, pelo menos publicamente, uma amostra indexada de DynoWiper relacionada a esse incidente, um detalhe que complica a análise aberta e a verificação independente por parte da comunidade técnica; BleepingComputer cobriu essas limitações em seu seguimento da notícia: BleepingComputer.
A sombra da experiência anterior na Europa Oriental torna esta operação particularmente preocupante. Em dezembro de 2015, Sandworm foi responsabilizado por um ataque que deixou sem eletricidade cerca de 230.000 consumidores na Ucrânia, um precedente que demonstrou que o risco não é já teórico: o ciberataque pode traduzir-se em apagões e em interrupções de serviços essenciais. Essa lição sublinha por que os serviços críticos devem priorizar a resiliência, desde estratégias de segmentação de redes até planos de recuperação válidos e cópias de segurança desconectadas.
Além da atribuição e assinatura do malware, uma das questões técnicas que resta por responder é quanto tempo permaneceram os atacantes dentro dos ambientes comprometidos antes de ativar o rascunho e qual foi a via de intrusão inicial: exploração de vulnerabilidades, e-mails de spear-phishing, acesso através de contas com credenciais roubadas ou movimentos laterais a partir de uma brecha independente são cenários plausível. Para as equipes de segurança que buscam reforçar defesas, os especialistas recomendam rever pesquisas recentes sobre a atividade de Sandworm e seus subgrupos; a Microsoft publicou em fevereiro de 2025 um relatório abrangente sobre campanhas relacionadas que pode servir como guia para identificar indicadores de compromisso e táticas relevantes: Microsoft: The BadPilot campaign.
Em 2025, os analistas já tinham seguido atribuições de Sandworm para incidentes destrutivos na Ucrânia que afetaram setores como a educação, a administração pública e a logística agrária em diferentes momentos do ano. Essa continuidade operacional mostra um padrão de repetição e evolução nas ferramentas, desde facilmente recuperáveis para variantes mais agressivas ou mais difíceis de analisar publicamente, o que encarece o trabalho de mitigação e responsabilização internacional.
O episódio polaco volta a colocar sobre a mesa questões políticas e técnicas simultaneamente. No plano político, a vinculação de um ataque a um actor estatal levanta questões sobre a resposta multilateral e a dissuasão no plano cibernético. No plano técnico, recorda três prioridades práticas: verificar e testar as cópias de segurança para garantir que são recuperáveis; endurecer a segmentação e o acesso em redes de controle industrial para minimizar movimentos laterais; e ampliar a visibilidade de telemetria para detectar atividades incomuns antes de se transformarem em destruição maciça de dados.
Para os responsáveis pela segurança e pelos operadores de infra-estruturas críticas, a conclusão é contundente: as ameaças são persistentes, sofisticadas e, nas mãos de atores com capacidade estatal, não se limitam a espionagem ou ex-filtração, mas podem se tornar ataques que paralicem serviços. A combinação de inteligência partilhada, resposta coordenada entre empresas e estados, e medidas técnicas robustas é a melhor defesa prática hoje. Os interessados em aprofundar táticas, técnicas e indicadores associados ao Sandworm têm nas análises de empresas de cibersegurança e nos relatórios públicos de grandes fabricantes uma base para atualizar protocolos e detecções; além do relatório da Microsoft já mencionado, seguir os centros de resposta nacional e os laboratórios privados permite manter-se ao dia e compartilhar lições em tempo real.
A história do ataque à Polónia não é apenas mais uma nota na imprensa de segurança: é um lembrete de que as infra-estruturas modernas, especialmente as que integram geração distribuída e sistemas de gestão em nuvem ou locais, exigem vigilância constante e cooperação entre sectores. Num mundo onde o ciberconflito atravessa fronteiras, a resiliência dos serviços essenciais é uma responsabilidade coletiva que não admite adiar.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...