¿Quién es Sandworm?

Sandworm (Voodoo Bear, Seashell Blizzard, IRIDIUM, Telebots) es la unidad 74455 del GRU ruso, especializada en operaciones destructivas y ataques a infraestructura crítica. Responsable de NotPetya (10B USD en daños globales), los apagones eléctricos en Ucrania (2015, 2016), y la mayor campaña de wipers de la historia (2022-2024).

¿NotPetya fue ransomware o un wiper?

Un wiper disfrazado de ransomware. Aunque mostraba nota de rescate y pedía Bitcoin, no tenía mecanismo real de descifrado. El objetivo no era extorsión sino destrucción masiva. Los 10B USD en daños globales (Maersk, Merck, FedEx, Mondelez) fueron daño colateral: el target primario era Ucrania.

¿Sandworm puede causar apagones eléctricos?

Sí, lo ha demostrado dos veces. En 2015, Industroyer/BlackEnergy cortó la electricidad a 230.000 personas en Ucrania. En 2016, Industroyer/CrashOverride causó un apagón en Kiev. En 2022, Industroyer2 intentó otro apagón pero fue detectado y detenido por CERT-UA con ayuda de ESET.

IntermedioSandwormRusiaGRUwipersICSdestructivo

Sandworm: GRU Unit 74455, Destrucción e ICS Attacks

Perfil técnico de Sandworm (Voodoo Bear/Seashell Blizzard): GRU Unit 74455. El grupo más destructivo del panorama APT. NotPetya (10B USD daños), Industroyer (apagones Ucrania), Olympic Destroyer, wipers masivos 2022-2024.

MalwareIntel Research·27 de mayo de 2026·7 min lectura

Serie: APTs y Threat Actors — Parte 7

Sandworm es la unidad del GRU especializada en destrucción y ataques a infraestructura crítica

Sandworm (GRU Unit 74455) es el grupo APT más destructivo documentado. Mientras APT28 (GRU Unit 26165) se centra en espionaje, Sandworm se centra en causar daño: apagones eléctricos, destrucción masiva de datos, y sabotaje de infraestructura crítica. NotPetya, su operación más devastadora, causó 10 mil millones de dólares en daños globales.

Ficha del grupo

Campo	Detalle
MITRE ID	G0034
Nombres	Voodoo Bear, Seashell Blizzard, IRIDIUM, Telebots, Hades, Quedagh, Iron Viking
Atribución	GRU Unidad 74455 (Main Center for Special Technologies, GTsST)
País	Rusia
Motivación	Destructivo, sabotaje, influencia, pre-posicionamiento
Activo desde	2009 (BlackEnergy), probablemente antes
Nivel	Tier 1-2: ICS attacks, wipers, supply chain, zero-days
Sectores	Energía, gobierno, telecom, transporte, medios, financiero
Regiones	Ucrania (primario), Europa, EEUU, Corea del Sur, Georgia

Herramientas y malware

Arsenal destructivo

Herramienta	Tipo	Impacto
BlackEnergy	Modular trojan + ICS	Apagón Ucrania 2015 (230K personas)
Industroyer/CrashOverride	ICS malware	Apagón Kiev 2016 (protocolos IEC 104/61850/OPC DA)
NotPetya/Nyetya	Wiper-as-ransomware	10B USD daños globales (2017)
Olympic Destroyer	Wiper + false flags	Ceremonia apertura JJOO Pyeongchang 2018
Industroyer2	ICS malware v2	Intento apagón Ucrania 2022 (detectado y detenido)
HermeticWiper	Wiper	Horas antes de la invasión de Ucrania (feb 2022)
CaddyWiper	Wiper	Campañas destructivas Ucrania 2022
WhisperGate	Wiper-as-ransomware	Gobierno ucraniano enero 2022
AcidPour	Wiper Linux/IoT	Infraestructura de comunicaciones (2024)
SwiftSlicer	Wiper	Distribuido via AD Group Policy
Prestige	Ransomware	Sector transporte Ucrania y Polonia (2022)
RansomBoggs	Ransomware (.NET)	Campaña diciembre 2022

Herramientas no destructivas

Herramienta	Tipo	Uso
Exaramel	Backdoor	Linux + Windows, sucesor de Industroyer backdoor
GreyEnergy	Backdoor modular	Sucesor de BlackEnergy para espionaje
Cyclops Blink	Botnet firmware	Routers ASUS/WatchGuard comprometidos (botnet desmantelada 2022)
VPNFilter	IoT botnet	500K+ routers comprometidos (2018)

Campañas documentadas

BlackEnergy: apagón Ucrania (2015)

Primer ciberataque confirmado que causó un apagón eléctrico:

1. Phishing con documento Excel a empleados de distribuidoras eléctricas
2. BlackEnergy backdoor instalado en redes IT
3. Pivot de IT a OT (redes de control SCADA)
4. Reconocimiento de sistemas SCADA durante meses
5. 23 dic 2015: operadores de Sandworm toman control de HMI
6. Abren remotamente interruptores en 3 distribuidoras
7. Wiper KillDisk destruye MBR de estaciones de trabajo
8. UPS de telefonía desactivado (víctimas no pueden llamar)
9. 230.000 personas sin electricidad durante 1-6 horas

Industroyer: apagón Kiev (2016)

Ataque más sofisticado que BlackEnergy. Industroyer/CrashOverride fue el primer malware diseñado específicamente para atacar protocolos ICS:

IEC 104: protocolo de telecontrol de subestaciones
IEC 61850: protocolo de automatización de subestaciones
OPC DA: protocolo de comunicación industrial
Módulo wiper: destruye archivos y MBR post-ataque

Apagón en distrito norte de Kiev durante 75 minutos.

NotPetya: el ataque más costoso de la historia (2017)

Vector inicial: actualización troyanizada de M.E.Doc (software fiscal ucraniano)
Propagación: EternalBlue (SMB) + Mimikatz (credential theft)
Impacto: paralizó empresas globales

Daños confirmados:
  Maersk (shipping):     300M USD (reinstalar 45.000 PCs + 4.000 servidores)
  Merck (pharma):        870M USD
  FedEx/TNT:             400M USD
  Saint-Gobain:          384M USD
  Mondelez:              188M USD
  Total estimado:        10.000M USD (10B)

Nota de rescate falsa: pedía 300 USD en Bitcoin
Realidad: no había mecanismo de descifrado funcional
Objetivo: destruir infraestructura ucraniana; daño global fue colateral

Olympic Destroyer (2018)

Ataque durante la ceremonia de apertura de los JJOO de Pyeongchang (Corea del Sur). Wiper que destruyó infraestructura IT del evento. Contenía false flags deliberadas que apuntaban a Lazarus (DPRK) y APT3 (China). Atribuido a Sandworm por US/UK intelligence.

Wipers masivos 2022-2024 (guerra Ucrania)

La mayor campaña de wipers de la historia:

Wiper	Fecha	Target
WhisperGate	Ene 2022	Gobierno ucraniano
HermeticWiper	Feb 2022	Gobierno, financiero (horas antes de invasión)
IsaacWiper	Feb 2022	Gobierno ucraniano
CaddyWiper	Mar 2022	Múltiples sectores Ucrania
DoubleZero	Mar 2022	Empresas ucranianas
AcidRain	Mar 2022	Modems Viasat KA-SAT (comunicaciones)
Industroyer2	Abr 2022	Red eléctrica (detectado y detenido)
SwiftSlicer	Ene 2023	Distribuido via GPO
AcidPour	Mar 2024	Infraestructura telecom

CERT-UA y empresas como ESET detectaron y neutralizaron múltiples intentos, incluyendo Industroyer2.

Técnicas ATT&CK principales

Táctica	Técnica	ID	Uso
Initial Access	Supply Chain	T1195.002	M.E.Doc (NotPetya)
Initial Access	Phishing	T1566.001	BlackEnergy campaigns
Execution	System Services	T1569	Servicios para desplegar wipers
Lateral Movement	Exploitation of Remote Services	T1210	EternalBlue (NotPetya)
Lateral Movement	SMB/Admin Shares	T1021.002	Copia de wipers via GPO/ADMIN$
Impact	Data Destruction	T1485	Wipers (todos)
Impact	Disk Wipe	T1561	MBR/GPT wipe (KillDisk, HermeticWiper)
Impact	Service Stop	T1489	Detener servicios pre-wiper
Impact	Inhibit System Recovery	T1490	Eliminar backups y shadow copies
ICS: Impair Process Control	Unauthorized Command Message	T0855	Abrir interruptores eléctricos
ICS: Inhibit Response	Manipulate I/O Image	T0835	Falsear lecturas en HMI

Detección

Indicadores

Pre-ataque (fases de preparación):
  - Phishing dirigido a sector energético/infraestructura crítica
  - Exaramel/GreyEnergy backdoors (sucesor BlackEnergy)
  - Cyclops Blink en routers WatchGuard/ASUS
  - VPNFilter en routers domésticos

Wipers:
  - Borrado de MBR/GPT (escritura raw al disco)
  - Driver legítimo EldoS RawDisk (usado por HermeticWiper)
  - Eliminación masiva de shadow copies + backups
  - GPO deployment de ejecutables a todos los endpoints

ICS:
  - Tráfico IEC 104/61850/OPC DA anómalo
  - Comandos de apertura de interruptores fuera de operación normal
  - Wiper KillDisk en estaciones HMI/SCADA

Prevención para infraestructura crítica

Segmentación IT/OT: boundary estricto, monitorización en el punto de cruce
Patching: EternalBlue sigue siendo vector (CVE-2017-0144)
Backups inmutables: air-gapped, verificados regularmente
Supply chain: verificar integridad de actualizaciones (M.E.Doc fue el vector de NotPetya)
ICS monitoring: Nozomi, Claroty, Dragos para detectar tráfico anómalo
GPO monitoring: alertar sobre GPO que despliegan ejecutables
Router security: actualizar firmware, cambiar credenciales default (VPNFilter, Cyclops Blink)

Conclusión

Sandworm demuestra que los ciberataques pueden causar daño físico real: apagones, destrucción masiva de infraestructura, y miles de millones en pérdidas. Es el grupo que convierte la ciberguerra de concepto teórico a realidad operativa. Para organizaciones de infraestructura crítica, Sandworm es la amenaza que define los requisitos de seguridad. El siguiente perfil cubre FIN7, el grupo de cibercrimen financiero más sofisticado.

Fuentes y referencias

MITRE ATT&CK: Sandworm Team (G0034)
ESET: "Industroyer" (2017) and "Industroyer2" (2022) analyses
Mandiant: "Sandworm: A New Era of Cyberwar" (book, Andy Greenberg)
CISA: Multiple advisories on Sandworm/GRU activity
Wired: "The Untold Story of NotPetya" (Andy Greenberg)
US DOJ: Indictment of six GRU officers (Sandworm, 2020)