El ciberataque «coordinado» dirigido a varios sitios en todo el Red eléctrica polaca se ha atribuido con un grado de confianza medio a un equipo de piratas informáticos patrocinado por el estado ruso conocido como ELECTRUM .

La empresa de ciberseguridad de tecnología operativa (OT) Dragos, en un nuevo informe de inteligencia publicado el martes, describió la actividad de finales de diciembre de 2025 como el primer ciberataque importante dirigido a los recursos energéticos distribuidos (DER).

«El ataque afectó a los sistemas de comunicación y control de las instalaciones combinadas de calor y electricidad (CHP) y a los sistemas que gestionan el envío de sistemas de energía renovable desde sitios eólicos y solares», dijo Dragos dijo . «Si bien el ataque no provocó cortes de energía, los adversarios accedieron a sistemas de tecnología operativa fundamentales para el funcionamiento de la red e inhabilitaron equipos clave irreparables en el sitio».

Vale la pena señalar que ELECTRUM y KAMACITA compartir superposiciones con un clúster denominado Gusano de arena (también conocido como APT44 y Seashell Blizzard). KAMACITE se centra en establecer y mantener el acceso inicial a las organizaciones objetivo mediante el uso de la suplantación de identidad, el robo de credenciales y la explotación de los servicios expuestos.

Más allá del acceso inicial, el actor de la amenaza lleva a cabo actividades de reconocimiento y persistencia durante períodos prolongados como parte de sus esfuerzos por adentrarse en los entornos de OT objetivo y mantener un perfil bajo, lo que indica una fase preparatoria cuidadosa que precede a las acciones ejecutadas por ELECTRUM contra los sistemas de control industrial.

«Tras la habilitación del acceso, ELECTRUM lleva a cabo operaciones que unen los entornos de TI y TO, implementa herramientas dentro de las redes operativas y lleva a cabo acciones específicas de ICS que manipulan los sistemas de control o interrumpen los procesos físicos», dijo Dragos dijo . «Estas acciones han incluido tanto las interacciones manuales con las interfaces de los operadores como el despliegue de malware ICS diseñado específicamente, según los requisitos y objetivos operativos».

Dicho de otro modo, los dos clústeres tienen una clara separación de funciones y responsabilidades, lo que permite flexibilidad en la ejecución y facilita las intrusiones sostenidas centradas en la OT cuando las condiciones son favorables. Se dice que recientemente, en julio de 2025, KAMACITE comenzó a escanear dispositivos industriales ubicados en los EE. UU.

Si bien hasta la fecha no se ha informado públicamente de ninguna interrupción posterior de la OT, esto pone de relieve un modelo operativo que no tiene restricciones geográficas y facilita la identificación y el posicionamiento del acceso en las primeras etapas.

«Las operaciones orientadas al acceso de KAMACITE crean las condiciones en las que es posible el impacto de la OT, mientras que ELECTRUM aplica técnicas de ejecución cuando el tiempo, el acceso y la tolerancia al riesgo se alinean», explicó. «Esta división del trabajo permite flexibilidad en la ejecución y permite que OT Impact siga siendo una opción, incluso cuando no se ejerce de inmediato. Esto amplía el riesgo más allá de los incidentes discretos y abarca períodos prolongados de exposición latente».

Dragos dijo que el ataque de Polonia tuvo como objetivo los sistemas que facilitan la comunicación y el control entre los operadores de la red y los activos de DER, incluidos los activos que permiten la conectividad de la red, lo que permite al adversario interrumpir con éxito las operaciones en unos 30 sitios de generación distribuida.

Se considera que los actores de amenazas han violado las unidades terminales remotas (RTU) y la infraestructura de comunicación en los sitios afectados utilizando dispositivos de red expuestos y han explotado las vulnerabilidades como vectores de acceso iniciales. Los resultados indican que los atacantes poseen un conocimiento profundo de la infraestructura de la red eléctrica, lo que les permite desactivar los equipos de comunicaciones, incluidos algunos dispositivos de TO.

Dicho esto, se desconoce el alcance total de las acciones maliciosas emprendidas por ELECTRUM, y Dragos señala que no está claro si el actor de la amenaza intentó emitir comandos operativos a este equipo o se centró únicamente en deshabilitar las comunicaciones.

También se considera que el ataque a Polonia fue más oportunista y apresurado que una operación planificada con precisión, ya que permitió a los piratas informáticos aprovechar el acceso no autorizado para causar el mayor daño posible borrando los dispositivos basados en Windows para impedir la recuperación, restablecer las configuraciones o intentar bloquear permanentemente los equipos. La mayoría de los equipos están destinados a supervisar la seguridad y la estabilidad de la red, según Dragos.

«Este incidente demuestra que los adversarios con capacidades específicas de la OT atacan activamente los sistemas que supervisan y controlan la generación distribuida», añadió. «El hecho de que algunos equipos de sistemas de control industrial (ICS) o de sistemas de control industrial (ICS) quedaran inutilizables en las instalaciones, convirtió en un ataque lo que podría haber sido considerado un intento de posicionamiento previo por parte del adversario».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.