El ciberataque 'coordinado' contra múltiples sitios de la red eléctrica polaca ha sido atribuido con confianza media al grupo respaldado por Rusia conocido como ELECTRUM, según la empresa de ciberseguridad OT Dragos. En un informe de inteligencia publicado el martes, la compañía describió la actividad de finales de diciembre de 2025 como el primer gran ciberataque contra recursos energéticos distribuidos (DER).
El ataque afectó los sistemas de comunicación y control en instalaciones de cogeneración y sistemas que gestionan el despacho de energía renovable desde parques eólicos y solares. Aunque no provocó apagones, los adversarios obtuvieron acceso a sistemas de tecnología operativa críticos para las operaciones de la red y deshabilitaron equipos clave más allá de su reparación en el lugar.
Cabe señalar que ELECTRUM y KAMACITE comparten superposiciones con un grupo conocido como Sandworm (también APT44 y Seashell Blizzard). KAMACITE se centra en establecer y mantener acceso inicial a organizaciones objetivo mediante phishing, credenciales robadas y explotación de servicios expuestos. Además del acceso inicial, realiza reconocimiento y actividades de persistencia durante períodos prolongados para infiltrarse en entornos OT y mantener un perfil bajo, lo que indica una fase preparatoria cuidadosa antes de las acciones ejecutadas por ELECTRUM contra los sistemas de control industrial.
Tras habilitar el acceso, ELECTRUM lleva a cabo operaciones que conectan entornos IT y OT, implementando herramientas en redes operativas y realizando acciones específicas de ICS que manipulan sistemas de control o interrumpen procesos físicos. Estas acciones han incluido interacciones manuales con interfaces de operador y el despliegue de malware ICS diseñado específicamente, según los requisitos y objetivos operativos.
En otras palabras, los dos grupos tienen roles y responsabilidades claramente separados, lo que permite flexibilidad en la ejecución y facilita intrusiones sostenidas en OT cuando las condiciones son favorables. Tan recientemente como julio de 2025, se informó que KAMACITE realizó actividades de escaneo contra dispositivos industriales en EE. UU. Aunque no se han reportado interrupciones OT posteriores, esto resalta un modelo operativo no restringido geográficamente que facilita la identificación y posicionamiento de acceso temprano.
Dragos explicó que las operaciones orientadas al acceso de KAMACITE crean las condiciones para un posible impacto en OT, mientras que ELECTRUM aplica tácticas de ejecución cuando el momento, el acceso y la tolerancia al riesgo se alinean. Esta división del trabajo permite flexibilidad y mantiene la opción de impacto en OT incluso cuando no se ejerce inmediatamente, extendiendo el riesgo más allá de incidentes discretos a períodos prolongados de exposición latente.
Dragos afirmó que el ataque a Polonia se dirigió a sistemas que facilitan la comunicación y el control entre los operadores de la red y los activos DER, incluidos los que permiten la conectividad de red, lo que permitió al adversario interrumpir operaciones en aproximadamente 30 sitios de generación distribuida. Se evaluó que los actores de amenaza violaron unidades terminales remotas (RTU) e infraestructura de comunicación en los sitios afectados utilizando dispositivos de red expuestos y vulnerabilidades explotadas como vectores de acceso inicial. Los hallazgos indican que los atacantes poseen un profundo conocimiento de la infraestructura de la red eléctrica, lo que les permitió deshabilitar equipos de comunicación, incluidos algunos dispositivos OT.
Dicho esto, se desconoce el alcance total de las acciones maliciosas realizadas por ELECTRUM, y Dragos señaló que no está claro si el actor de amenaza intentó emitir comandos operativos a estos equipos o se centró únicamente en deshabilitar las comunicaciones. El ataque a Polonia también se considera más oportunista y apresurado que una operación precisamente planificada, lo que permitió a los hackers aprovechar el acceso no autorizado para infligir el mayor daño posible, eliminando dispositivos basados en Windows para impedir la recuperación, restableciendo configuraciones o intentando inutilizar permanentemente los equipos. La mayoría de los equipos estaban destinados a la supervisión de la seguridad y estabilidad de la red, según Dragos.
Este incidente demuestra que los adversarios con capacidades específicas de OT están atacando activamente sistemas que monitorean y controlan la generación distribuida. La desactivación de ciertos equipos OT o ICS más allá de su reparación en el lugar transformó lo que podría haberse visto como un intento de preposicionamiento por parte del adversario en un ataque.
