- Les chercheurs d’ESET ont découvert un nouveau wiper, DynoWiper, ciblant le secteur de l’énergie en Pologne.
- Les tactiques techniques et procédures (TTP) employées rappellent fortement celles du wiper ZOV, déjà observé en Ukraine.
- ESET Research attribue DynoWiper au groupe aligné sur la Russie Sandworm, avec un niveau de confiance moyen.
- Cet incident constitue un cas rare et inédit de déploiement d’un wiper destructeur par un acteur malveillant aligné sur la Russie, contre le secteur énergétique polonais.
La-Femme (ESET Research) – Les chercheurs d’ESET ont découvert un nouveau malware destructeur de type wiper, baptisé DynoWiper, utilisé lors d’une attaque contre une entreprise du secteur énergétique en Pologne. Les tactiques, techniques et procédures (TTP) observées rappellent fortement celles du wiper ZOV, précédemment utilisé en Ukraine, un nom évoquant les symboles militaires russes Z, O et V. ESET Research attribue DynoWiper au groupe de menace aligné sur la Russie Sandworm, avec un niveau de confiance qualifié de moyen.
Cette attaque constitue un cas rare, jusque-là inédit, de déploiement d’un wiper destructeur par un acteur malveillant aligné sur la Russie, contre une infrastructure énergétique polonaise. En 2025, ESET avait déjà enquêté sur plus d’une dizaine d’incidents impliquant des malwares d’effacement liés à Sandworm, dont la quasi-totalité s’est déroulée en Ukraine.
La solution EDR/XDR présente sur le réseau, a empêché l’exécution du wiper, limitant ainsi considérablement son impact sur l’environnement compromis. Parallèlement, le CERT Polska a mené une enquête approfondie et publié un rapport détaillé disponible sur son site officiel.
Voici le déroulé de l’attaque, du point de vue d’ESET. Le 29 décembre 2025, plusieurs échantillons de DynoWiper ont été déposés, vraisemblablement dans un répertoire partagé du domaine de la victime. Il est possible que les opérateurs aient commencé par tester leur opération sur des machines virtuelles avant de procéder au déploiement dans l’organisation ciblée. Trois variantes distinctes ont été utilisées, mais toutes les tentatives ont échoué.
Le fonctionnement du Wiper est le suivant. Le wiper détruit les fichiers en les écrasant avec un tampon de 16 octets de données aléatoires générées au lancement. Sur un système non protégé, les fichiers de 16 octets ou moins sont entièrement corrompus. Pour accélérer la destruction, seuls certains segments des fichiers plus volumineux sont écrasés. DynoWiper attaque également les disques amovibles et montés, puis force un redémarrage du système pour finaliser la mise hors service.
Contrairement à d’autres malwares attribués à Sandworm, comme Industroyer ou Industroyer2, DynoWiper semble se limiter aux environnements IT classiques, sans montrer de capacité visant spécifiquement les systèmes industriels OT. Cela n’exclut toutefois pas que de telles fonctionnalités aient pu intervenir à d’autres étapes de la chaîne d’attaque.
ESET Research a identifié plusieurs similitudes entre DynoWiper et des wipers destructeurs déjà connus, notamment ZOV, attribué à Sandworm avec un haut niveau de confiance. DynoWiper adopte un mode opératoire comparable, notamment dans l’exclusion de certains répertoires et dans la logique distincte appliquée à l’effacement des petits fichiers par rapport aux fichiers volumineux, un comportement déjà observé dans ZOV. Ce dernier avait été détecté lors d’une attaque contre une institution financière ukrainienne en novembre 2025, où il supprimait systématiquement les fichiers présents sur tous les disques. Un autre incident impliquant ZOV avait également touché une entreprise dans le secteur de l’énergie en Ukraine le 25 janvier 2024.
Sandworm est un groupe de cybermenace aligné sur la Russie, connu pour ses opérations destructrices visant un large éventail de secteurs : administrations publiques, logistique, transport, fournisseurs d’énergie, médias, industrie céréalière ou encore télécommunications. Ces campagnes reposent fréquemment sur l’usage de malwares d’effacement, conçus pour supprimer des données, rendre les systèmes inopérants et perturber durablement les activités.
Au-delà de l’Ukraine, Sandworm cible des organisations polonaises depuis plus de dix ans, y compris dans le secteur énergétique. En octobre 2022, le groupe avait mené une attaque destructrice contre des entreprises de logistique en Ukraine et en Pologne, déguisée en ransomware sous le nom de « Prestige ».
Bien que la majorité des opérations attribuées à Sandworm restent concentrées sur l’Ukraine, ESET collabore étroitement avec ses partenaires locaux, notamment CERT-UA, afin de renforcer les capacités de prévention, de détection et de remédiation.
Pour une analyse détaillée de DynoWiper, consultez l’article d’ESET Research « Mise à jour DynoWiper : analyse technique et attribution” sur WeLiveSecurity.com.
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
