Se cree con confianza media que un ciberataque «coordinado» dirigido a múltiples sitios en la red eléctrica de Polonia es obra de un grupo de piratería respaldado por el estado ruso conocido como ELECTRUM.
La empresa de ciberseguridad de tecnología operativa (OT) Dragos dijo en un nuevo informe de inteligencia publicado el martes que la actividad de finales de diciembre de 2025 fue el primer ciberataque importante dirigido a recursos energéticos distribuidos (DER).
«Este ataque afectó a los sistemas de comunicación y control de las instalaciones combinadas de calor y energía (CHP), así como a los sistemas que gestionan la transmisión de electricidad desde las plantas de energía eólica y solar a los sistemas de energía renovable», dijo Dragos. «Si bien este ataque no provocó un corte de energía, los atacantes obtuvieron acceso a sistemas técnicos operativos críticos para el funcionamiento de la red eléctrica y desactivaron equipos críticos sin posibilidad de reparación en el campo».
Vale la pena señalar que las acciones de ELECTRUM y KAMACITE se superponen con un grupo llamado Sandworm (también conocido como APT44 y Seashell Blizzard). KAMACITE se centra en establecer y mantener el acceso inicial a organizaciones específicas mediante phishing, robo de credenciales y explotación de servicios expuestos.
Más allá del acceso inicial, los atacantes llevan a cabo actividades de reconocimiento y persistencia durante períodos prolongados como parte de sus esfuerzos por penetrar más profundamente en el entorno OT del objetivo y permanecer discretos. Esto representa un paso preliminar cuidadoso antes de cualquier acción tomada por ELECTRUM dirigida a los sistemas de control industrial.
«Después de la habilitación del acceso, ELECTRUM realiza operaciones que unen los entornos de TI y OT, implementando herramientas dentro de la red operativa y realizando acciones específicas de ICS, como manipular sistemas de control o interrumpir procesos físicos», dijo Dragos. «Estas medidas incluyen tanto la interacción manual con las interfaces del operador como la implementación de malware ICS especializado, dependiendo de los requisitos y objetivos operativos».
En otras palabras, los dos grupos tienen una clara separación de funciones y responsabilidades, lo que permite una ejecución flexible y facilita la penetración continua centrada en OT cuando las condiciones son favorables. En julio de 2025, KAMACITE supuestamente participaba en operaciones de escaneo de dispositivos industriales ubicados en Estados Unidos.
Aunque hasta la fecha no se han informado públicamente fallas posteriores de OT, esto resalta un modelo operativo que es geográficamente independiente y facilita la identificación y ubicación del acceso inicial.
«Las operaciones orientadas al acceso de KAMACITE crean condiciones que permiten la influencia de OT, mientras que ELECTRUM aplica técnicas de ejecución cuando el tiempo, el acceso y la tolerancia al riesgo se alinean». «Esta división del trabajo permite una ejecución flexible y permite que el impacto de OT siga siendo una opción incluso si no se implementa de inmediato. Esto extiende el riesgo más allá de los incidentes individuales a la exposición potencial a lo largo del tiempo».
Dragos dijo que el ataque polaco tuvo como objetivo sistemas que facilitan la comunicación y el control entre los operadores de la red y los activos de DER, incluidos los activos que permiten la conectividad de la red, y los atacantes lograron interrumpir las operaciones de alrededor de 30 plantas de energía distribuida.
Se evalúa que los actores de amenazas han utilizado dispositivos de red expuestos para comprometer unidades terminales remotas (RTU) y la infraestructura de comunicaciones en los sitios afectados, explotando la vulnerabilidad como vector de acceso inicial. Los hallazgos demuestran que los atacantes tienen un conocimiento profundo de la infraestructura de la red eléctrica y pueden desactivar los equipos de comunicaciones, incluidos algunos dispositivos OT.
Sin embargo, se desconoce el alcance total de la actividad maliciosa llevada a cabo por ELECTRUM, dijo Dragos, y no está claro si los actores de la amenaza intentaban emitir comandos operativos al dispositivo o se centraban únicamente en desactivar las comunicaciones.
El ataque polaco también ha sido descrito como más oportunista y apresurado que una operación cuidadosamente planificada, permitiendo a los piratas informáticos utilizar acceso no autorizado para borrar dispositivos basados en Windows para evitar la recuperación, restablecer configuraciones o intentar bloquear permanentemente el equipo, permitiendo a los piratas informáticos causar el mayor daño posible. Según Dragos, la mayor parte del equipamiento está destinado a controlar la seguridad y estabilidad de la red eléctrica.
«Este incidente muestra que los atacantes con capacidades específicas de OT están apuntando activamente a sistemas que monitorean y controlan la generación distribuida», agregó. «Con ciertos equipos OT o de sistemas de control industrial (ICS) irreparablemente desactivados en el campo, lo que podría haber sido considerado un intento de posicionamiento proactivo por parte de un adversario se convirtió en un ataque».
Source link
