El ciberataque «coordinado» dirigido a múltiples sitios en la red eléctrica polaca se ha atribuido con confianza media a un equipo de piratería patrocinado por el estado ruso conocido como ELECTRUM.
La empresa de ciberseguridad de tecnología operativa (OT) Dragos, en un nuevo informe de inteligencia publicado el martes, describió la actividad de finales de diciembre de 2025 como el primer gran ciberataque dirigido a recursos energéticos distribuidos (DER).
«El ataque afectó a los sistemas de comunicación y control en instalaciones de calor y energía combinadas (CHP) y a los sistemas que gestionan el envío de sistemas de energía renovable desde sitios eólicos y solares», dijo Dragos. «Si bien el ataque no provocó cortes de energía, los adversarios obtuvieron acceso a sistemas de tecnología operativa críticos para las operaciones de la red y desactivaron equipos clave sin posibilidad de reparación en el sitio».
Vale la pena señalar que ELECTRUM y KAMACITE comparten superposiciones con un grupo denominado Sandworm (también conocido como APT44 y Seashell Blizzard). KAMACITE se centra en establecer y mantener el acceso inicial a organizaciones específicas mediante phishing, credenciales robadas y explotación de servicios expuestos.
Más allá del acceso inicial, el actor de la amenaza realiza actividades de reconocimiento y persistencia durante períodos prolongados como parte de los esfuerzos para profundizar en los entornos OT objetivo y mantener un perfil bajo, lo que indica una fase preparatoria cuidadosa que precede a las acciones ejecutadas por ELECTRUM dirigidas a los sistemas de control industrial.
«Después de la habilitación del acceso, ELECTRUM lleva a cabo operaciones que unen los entornos de TI y OT, implementando herramientas dentro de las redes operativas y realiza acciones específicas de ICS que manipulan los sistemas de control o interrumpen los procesos físicos», dijo Dragos. «Estas acciones han incluido tanto interacciones manuales con interfaces de operador como el despliegue de malware ICS especialmente diseñado, dependiendo de los requisitos y objetivos operativos».
Dicho de otra manera, los dos grupos tienen una clara separación de funciones y responsabilidades, lo que permite flexibilidad en la ejecución y facilita intrusiones sostenidas centradas en OT cuando las condiciones son favorables. En julio de 2025, se dice que KAMACITE participó en actividades de escaneo de dispositivos industriales ubicados en los EE. UU.
Aunque hasta la fecha no se han informado públicamente interrupciones posteriores de OT, esto resalta un modelo operativo que no está limitado geográficamente y facilita la identificación y el posicionamiento del acceso en etapas tempranas.
«Las operaciones orientadas al acceso de KAMACITE crean las condiciones bajo las cuales el impacto de OT se vuelve posible, mientras que ELECTRUM aplica técnicas de ejecución cuando el tiempo, el acceso y la tolerancia al riesgo se alinean», explicó. «Esta división del trabajo permite flexibilidad en la ejecución y permite que el impacto de OT siga siendo una opción, incluso cuando no se ejerce de inmediato. Esto extiende el riesgo más allá de incidentes discretos y a períodos prolongados de exposición latente».
Dragos dijo que el ataque de Polonia tuvo como objetivo sistemas que facilitan la comunicación y el control entre los operadores de la red y los activos de DER, incluidos los activos que permiten la conectividad de la red, lo que permitió al adversario interrumpir con éxito las operaciones en unos 30 sitios de generación distribuida.
Se considera que los actores de la amenaza han violado unidades terminales remotas (RTU) y la infraestructura de comunicación en los sitios afectados utilizando dispositivos de red expuestos y explotando vulnerabilidades como vectores de acceso inicial. Los hallazgos indican que los atacantes poseen un profundo conocimiento de la infraestructura de la red eléctrica, lo que les permite desactivar los equipos de comunicaciones, incluidos algunos dispositivos OT.
Dicho esto, se desconoce el alcance total de las acciones maliciosas emprendidas por ELECTRUM, y Dragos señaló que no está claro si el actor de amenazas intentó emitir comandos operativos a este equipo o se centró únicamente en deshabilitar las comunicaciones.
También se considera que el ataque de Polonia es más oportunista y apresurado que una operación planificada con precisión, lo que permite a los piratas informáticos aprovechar el acceso no autorizado para infligir el mayor daño posible limpiando dispositivos basados en Windows para impedir la recuperación, restableciendo configuraciones o intentando bloquear permanentemente el equipo. La mayoría del equipo está destinado al monitoreo de estabilidad y seguridad de la red, según Dragos.
«Este incidente demuestra que los adversarios con capacidades específicas de OT están apuntando activamente a los sistemas que monitorean y controlan la generación distribuida», añadió. «La desactivación irreparable de ciertos equipos OT o del sistema de control industrial (ICS) en el sitio convirtió lo que podría haber sido visto como un intento de posicionamiento previo por parte del adversario en un ataque».