I ricercatori di ESET, specialista globale nel mercato della cybersecurity, hanno identificato un nuovo malware distruttivo per la cancellazione dei dati, denominato DynoWiper, che è stato utilizzato in un attacco contro un’azienda del settore energetico in Polonia. Le tattiche, tecniche e procedure (TTP) osservate durante l’incidente presentano forti somiglianze con quelle già riscontrate in un precedente attacco che ha coinvolto il wiper ZOV in Ucraina: Z, O e V sono simboli militari russi. Sulla base delle analisi condotte, ESET Research attribuisce DynoWiper al gruppo di minaccia filorusso Sandworm con un livello di attendibilità medio.
Si tratta di un caso raro e finora non documentato di utilizzo di malware distruttivo da parte di un attore allineato alla Russia contro un’azienda energetica in Polonia. Nel corso del 2025, ESET ha analizzato oltre dieci incidenti che hanno coinvolto malware distruttivi attribuiti a Sandworm, quasi tutti avvenuti in Ucraina.
La soluzione EDR/XDR installata, ESET PROTECT, ha bloccato l’esecuzione del wiper, limitandone in modo significativo l’impatto sull’ambiente colpito. CERT Polska (il Computer Emergency Response Team nazionale polacco) ha svolto un lavoro approfondito nell’analisi dell’incidente e ha pubblicato un report dettagliato, disponibile sul proprio sito web.
Il 29 dicembre 2025, alcune varianti di DynoWiper sono state distribuite in quella che con ogni probabilità era una directory condivisa del dominio della vittima. È possibile che gli operatori di Sandworm abbiano inizialmente testato l’operazione su macchine virtuali prima di distribuire il malware all’interno dell’organizzazione bersaglio. Sono state distribuite tre varianti distinte e tutti i tentativi sono falliti. Il wiper sovrascrive i file utilizzando un buffer di 16 byte contenente dati casuali generati una sola volta all’avvio dell’esecuzione. Su un sistema non protetto, i file di dimensioni pari o inferiori a 16 byte vengono completamente sovrascritti. Per accelerare il processo di distruzione, nei file di dimensioni superiori a 16 byte viene sovrascritta solo una parte del contenuto. DynoWiper cancella i file presenti su tutte le unità rimovibili e fisse e, infine, forza il riavvio del sistema, che conclude il processo di distruzione.
A differenza di altri malware attribuiti a Sandworm, tra cui Industroyer e Industroyer2, i campioni di DynoWiper recentemente scoperti risultano focalizzati esclusivamente sull’ambiente IT, senza evidenze di funzionalità rivolte ai componenti industriali OT. Tuttavia, questa evidenza non esclude che tali capacità possano essere state presenti in altre fasi della catena di attacco.
ESET Research ha individuato diverse somiglianze con malware distruttivi noti, in particolare con il wiper ZOV, che ESET attribuisce a Sandworm con elevato livello di attendibilità. DynoWiper opera in modo molto simile a ZOV. In particolare, l’esclusione di alcune directory e la netta distinzione logica nel codice tra la cancellazione di file di piccole e grandi dimensioni sono elementi comuni a entrambi i wiper. ZOV è un malware distruttivo rilevato durante un attacco a un istituto finanziario in Ucraina nel novembre 2025. Una volta eseguito, il wiper scorre i file presenti su tutte le unità fisse e ne cancella il contenuto sovrascrivendolo. Un ulteriore caso di utilizzo di ZOV ha coinvolto un’azienda energetica ucraina, colpita il 25 gennaio 2024.
Sandworm è un gruppo di minaccia allineato alla Russia noto per condurre attacchi distruttivi contro un’ampia gamma di organizzazioni, tra cui enti governativi, aziende logistiche, operatori dei trasporti, fornitori di energia, media, aziende del settore cerealicolo e operatori delle telecomunicazioni. Queste operazioni prevedono generalmente l’impiego di wiper, malware progettati per eliminare file, cancellare dati e rendere i sistemi inutilizzabili.
Oltre all’Ucraina, il gruppo vanta una storia decennale di attività ostili verso aziende in Polonia, comprese quelle del settore energetico. Nell’ottobre 2022, Sandworm ha condotto un attacco distruttivo contro aziende logistiche sia in Ucraina sia in Polonia, mascherando l’operazione come un attacco ransomware Prestige (che simula un attacco estorsivo ma è progettato per rendere i sistemi inutilizzabili), mentre in realtà l’obiettivo era il sabotaggio. Poiché la maggior parte delle operazioni cyber del gruppo è attualmente rivolta contro l’Ucraina, ESET collabora strettamente con i partner locali, tra cui il CERT-UA, per supportare le attività di prevenzione e risposta agli incidenti.
