Los analistas de ESET han detectado una nueva pieza de malware de carácter destructivo, bautizada como DynoWiper, que ha sido empleada en un ataque dirigido contra el sector energético en Polonia. Este tipo de programas maliciosos, conocidos como wipers, no persiguen el robo de información, sino la inutilización de los sistemas mediante el borrado de datos, lo que puede generar importantes interrupciones en la operativa de las organizaciones afectadas.
En el transcurso de la investigación, ESET Research constató que las tácticas, técnicas y procedimientos utilizados en el ataque con DynoWiper guardan claras similitudes con campañas anteriores atribuidas al grupo de amenazas Sandworm, vinculado a Rusia. En particular, se han identificado paralelismos con ZOV, otro malware destructivo empleado anteriormente en acciones contra entidades de los sectores financiero y energético.
El caso analizado resulta especialmente llamativo, ya que se trata de un ejemplo poco habitual y hasta ahora no documentado de uso de malware destructivo contra una empresa energética. A lo largo de 2025, ESET examinó más de una decena de incidentes de este tipo, la mayoría relacionados con el mismo actor de amenazas. En esta ocasión, el impacto fue reducido gracias a la detección temprana y al bloqueo del malware por parte de la solución EDR/XDR de ESET PROTECT, que estaba desplegada en el entorno atacado. Asimismo, CERT Polska desempeñó un papel destacado en la investigación del incidente y publicó un informe técnico detallado disponible en su sitio web.
De acuerdo con el análisis de ESET Research, las muestras de DynoWiper fueron colocadas en un directorio compartido dentro del dominio de una de las organizaciones objetivo. Todo apunta a que los atacantes probaron previamente el malware en entornos de ensayo antes de intentar ejecutarlo en los sistemas reales de la víctima. En total, se localizaron tres variantes distintas del wiper y ninguno de los intentos de ejecución llegó a completarse con éxito.
DynoWiper ha sido diseñado para sobrescribir archivos utilizando datos aleatorios, afectando tanto a discos duros como a unidades extraíbles. Para acelerar el proceso de destrucción, elimina por completo los archivos de menor tamaño y sobrescribe parcialmente los más grandes. Una vez finalizada esta fase, fuerza el reinicio del sistema, dejando los equipos inutilizados. A diferencia de otras amenazas asociadas a Sandworm, como Industroyer o Industroyer2, DynoWiper se orienta al entorno de tecnologías de la información (IT) y no se han detectado funciones específicas dirigidas a sistemas industriales de tecnología operativa (OT). No obstante, la ausencia de estas capacidades no descarta que pudieran haber existido en otras etapas del ataque.
La investigación también ha sacado a la luz numerosas similitudes técnicas entre DynoWiper y ZOV, tanto en la lógica empleada para el borrado de archivos como en la exclusión de ciertos directorios del sistema. ZOV ya había sido identificado previamente en ataques contra organizaciones financieras y energéticas y forma parte del arsenal de herramientas destructivas utilizadas por Sandworm.
Sandworm es un grupo de ciberamenazas alineado con Rusia con más de diez años de actividad, responsable de ataques dirigidos contra instituciones públicas y empresas de sectores estratégicos como la energía, la logística, el transporte, las telecomunicaciones o los medios de comunicación. Sus operaciones suelen caracterizarse por el uso de malware diseñado para destruir datos y dejar los sistemas fuera de servicio.
Aunque en los últimos tiempos la mayoría de las acciones de este grupo se han centrado en Ucrania, el análisis de ESET confirma que también ha llevado a cabo ataques destructivos contra organizaciones de otros países, incluidos episodios anteriores en compañías energéticas y logísticas.
Para profundizar en el análisis técnico de DynoWiper y del grupo Sandworm, se puede consultar el último artículo de ESET Research, “DynoWiper update: Technical analysis and attribution”, publicado en WeLiveSecurity.com. Además, ESET Research comparte novedades y análisis en sus perfiles de X, BlueSky y Mastodon.
