El ciberataque “coordinado” dirigido a múltiples sitios en la red eléctrica polaca se ha atribuido con confianza media a un equipo de piratería patrocinado por el estado ruso conocido como ELECTRUM.
La empresa de ciberseguridad de tecnología operativa (OT) Dragos, en un nuevo referencia de inteligencia publicado el martes, describió la actividad de finales de diciembre de 2025 como el primer gran ciberataque dirigido a posibles energéticos distribuidos (DER).
“El ataque afectó a los sistemas de comunicación y control en instalaciones de calor y energía combinadas (CHP) y a los sistemas que gestionan el expedición de sistemas de energía renovable desde sitios eólicos y solares”, dijo Dragos. “Si adecuadamente el ataque no provocó cortes de energía, los adversarios obtuvieron entrada a sistemas de tecnología operativa críticos para las operaciones de la red y desactivaron equipos esencia sin posibilidad de reparación en el sitio”.
Vale la pena señalar que ELECTRUM y KAMACITE comparten superposiciones con un camarilla denominado Sandworm (igualmente conocido como APT44 y Seashell Blizzard). KAMACITE se centra en establecer y amparar el entrada original a organizaciones específicas mediante phishing, credenciales robadas y explotación de servicios expuestos.
Más allá del entrada original, el actor de la amenaza realiza actividades de inspección y persistencia durante períodos prolongados como parte de los esfuerzos para profundizar en los entornos OT objetivo y amparar un perfil bajo, lo que indica una grado preparatoria cuidadosa que precede a las acciones ejecutadas por ELECTRUM dirigidas a los sistemas de control industrial.
“Posteriormente de la facultad del entrada, ELECTRUM lleva a término operaciones que unen los entornos de TI y OT, implementando herramientas adentro de las redes operativas y realiza acciones específicas de ICS que manipulan los sistemas de control o interrumpen los procesos físicos”, dijo Dragos. “Estas acciones han incluido tanto interacciones manuales con interfaces de cirujano como el despliegue de malware ICS especialmente diseñado, dependiendo de los requisitos y objetivos operativos”.
Dicho de otra modo, los dos grupos tienen una clara separación de funciones y responsabilidades, lo que permite flexibilidad en la ejecución y facilita intrusiones sostenidas centradas en OT cuando las condiciones son favorables. En julio de 2025, se dice que KAMACITE participó en actividades de escaneo de dispositivos industriales ubicados en los EE. UU.
Aunque hasta la término no se han informado públicamente interrupciones posteriores de OT, esto resalta un maniquí activo que no está circunscrito geográficamente y facilita la identificación y el posicionamiento del entrada en etapas tempranas.
“Las operaciones orientadas al entrada de KAMACITE crean las condiciones bajo las cuales el impacto de OT se vuelve posible, mientras que ELECTRUM aplica técnicas de ejecución cuando el tiempo, el entrada y la tolerancia al aventura se alinean”, explicó. “Esta división del trabajo permite flexibilidad en la ejecución y permite que el impacto de OT siga siendo una opción, incluso cuando no se ejerce de inmediato. Esto extiende el aventura más allá de incidentes discretos y a períodos prolongados de exposición secreto”.
Dragos dijo que el ataque de Polonia tuvo como objetivo sistemas que facilitan la comunicación y el control entre los operadores de la red y los activos de DER, incluidos los activos que permiten la conectividad de la red, lo que permitió al adversario interrumpir con éxito las operaciones en unos 30 sitios de procreación distribuida.
Se considera que los actores de la amenaza han violado unidades terminales remotas (RTU) y la infraestructura de comunicación en los sitios afectados utilizando dispositivos de red expuestos y explotando vulnerabilidades como vectores de entrada original. Los hallazgos indican que los atacantes poseen un profundo conocimiento de la infraestructura de la red eléctrica, lo que les permite desactivar los equipos de comunicaciones, incluidos algunos dispositivos OT.
Dicho esto, se desconoce el ámbito total de las acciones maliciosas emprendidas por ELECTRUM, y Dragos señaló que no está claro si el actor de amenazas intentó emitir comandos operativos a este equipo o se centró solamente en deshabilitar las comunicaciones.
Además se considera que el ataque de Polonia es más oportunista y apresurado que una operación planificada con precisión, lo que permite a los piratas informáticos disfrutar el entrada no calificado para infligir el maduro daño posible limpiando dispositivos basados en Windows para impedir la recuperación, restableciendo configuraciones o intentando cercar permanentemente el equipo. La mayoría del equipo está destinado al monitoreo de estabilidad y seguridad de la red, según Dragos.
“Este incidente demuestra que los adversarios con capacidades específicas de OT están apuntando activamente a los sistemas que monitorean y controlan la procreación distribuida”, añadió. “La desactivación irreparable de ciertos equipos OT o del sistema de control industrial (ICS) en el sitio convirtió lo que podría activo sido pasado como un intento de posicionamiento previo por parte del adversario en un ataque”.
