Sandworm Team (Voodoo Bear / GRU Unit 74455)

type: entity
title: "Sandworm Team (Voodoo Bear / GRU Unit 74455)"
aliases: ["Sandworm", "Voodoo Bear", "BlackEnergy Group", "TeleBots", "IRIDIUM", "Seashell Blizzard", "GRU 74455"]
tags:
  - topic/cyber-threat-intelligence
  - topic/threat-actors
  - topic/apt
  - topic/critical-infrastructure
status: seedling
first_seen: 2026-04-28
last_updated: 2026-04-28
mentions_count: 1

Definicion

Threat actor nation-state ruso atribuido al GRU Unit 74455 (Centro Principal de Tecnologias Especiales). Conocido por operaciones disruptivas/destructivas mas que espionaje: ataques al grid electrico ucraniano (BlackEnergy 2015, Industroyer 2016, Industroyer2 2022), NotPetya (2017, $10B+ danos globales), Olympic Destroyer (Pyeongchang 2018), VPNFilter (2018), Cyclops Blink (2022).

Contexto

Sandworm es el actor cinetico-cibernetico mas peligroso conocido. Su modus operandi es destruccion + IO (information operations). Attribution: confirmada por DOJ indictment 2020 e investigaciones de Andy Greenberg (Wired).

Datos clave

Atribucion: GRU Unit 74455 (GTsST - Centro de Tecnologias Especiales)
Activo desde: ~2009
Malware famoso: BlackEnergy 2/3, Industroyer/CrashOverride, NotPetya, Olympic Destroyer, VPNFilter, Cyclops Blink, Industroyer2
Operaciones notables: blackouts Ucrania (2015 y 2016), NotPetya (junio 2017), Olympic Destroyer (febrero 2018)
MITRE ATT&CK group ID: G0034
Indictment US DOJ: octubre 2020 (6 oficiales GRU acusados)
Libro recomendado: Andy Greenberg, "Sandworm" (2019)

Apariciones

cti-recursos-juniors-unificado — referenciada en la nota madre del vault.

Conexiones

Relacionado con: [[]]
Tema principal: Themes/

Themes

tema-cti-fundamentos-doctrina