Investigadores de seguridad identifican una nueva herramienta de ciberguerra diseñada no para pedir rescate, sino para borrar datos irremediablemente, con huellas dactilares que apuntan a la inteligencia militar rusa.
La guerra híbrida en Europa del Este sigue escalando. Hoy 2 de febrero de 2026, la aparición de DynoWiper, un malware de tipo wiper (borrador) que ha sido desplegado contra empresas de energía en Polonia.
A diferencia del ransomware, donde los criminales buscan dinero, DynoWiper es un arma de sabotaje puro. Su único propósito es la destrucción total de datos para paralizar operaciones críticas. Los analistas vinculan este ataque al infame grupo Sandworm (Unidad 74455 del GRU ruso), conocidos por sus ataques históricos contra la red eléctrica de Ucrania.
El Ataque: Intento de Apagón Digital
El incidente se detectó originalmente a finales de diciembre de 2025, pero los detalles técnicos completos han salido a la luz ahora.
- El Objetivo: Una empresa de energía polaca no identificada.
- La Táctica: Los atacantes intentaron ejecutar el malware varias veces el 29 de diciembre, utilizando archivos camuflados como ejecutables del sistema (schtask.exe, schtask2.exe).
- El Fallo: Afortunadamente, las soluciones de detección y respuesta (EDR) de la víctima lograron bloquear la ejecución, evitando un desastre operativo mayor, aunque revelando la persistencia del atacante, que modificó el código repetidamente para intentar evadir las defensas.
Anatomía de DynoWiper
El análisis técnico revela un diseño simple pero letal, similar al wiper ZOV usado previamente contra Ucrania:
- Sobreescritura Rápida: En lugar de borrar el archivo (que podría recuperarse), DynoWiper sobrescribe el contenido. Usa un búfer de 16 bytes con datos aleatorios.
- Si el archivo es pequeño (<16 bytes), lo destruye completamente.
- Si es grande, sobrescribe fragmentos clave para corromperlo rápidamente sin perder tiempo en todo el disco.
- Búsqueda Recursiva: Barre todas las unidades fijas y extraíbles conectadas al sistema.
- Exclusiones Tácticas: Evita ciertas carpetas del sistema operativo (como Windows) solo lo suficiente para mantener la máquina encendida mientras borra los datos de usuario y negocio, asegurando que el proceso de destrucción termine antes de que el sistema colapse.
Despliegue: Dominio Total
Lo más alarmante no es el malware en sí, sino cómo llegó allí. Para desplegar DynoWiper, los atacantes ya tenían control total de la red.
- Directivas de Grupo (GPO): Utilizaron el Active Directory comprometido para distribuir el malware a múltiples máquinas simultáneamente mediante políticas de grupo, una técnica que requiere privilegios de Administrador de Dominio.
- El Arsenal Previo: Antes del intento de borrado, usaron herramientas como Rubeus (robo de credenciales Kerberos) y rsocx (proxy SOCKS5) para moverse lateralmente y exfiltrar información, demostrando una fase de reconocimiento meticulosa.
Contexto Geopolítico
Este ataque no es aislado. Se suma a reportes recientes de ataques coordinados contra 30 granjas eólicas y solares en Polonia y nuevas ofensivas contra Dinamarca. La aparición de DynoWiper confirma que la infraestructura crítica de los aliados de la OTAN sigue siendo un objetivo primario para los operadores de ciberespionaje rusos.
Lección para Defensores
El hecho de que el ataque usara GPO significa que el perímetro ya había caído. La defensa contra wipers requiere segmentación de red estricta (para que el AD no pueda tocar los sistemas de control industrial OT) y monitoreo constante de cambios inusuales en las políticas de grupo.
