La cyberattaque « coordonnée » ciblant plusieurs sites du réseau électrique polonais a été attribuée avec un niveau de confiance moyen à une équipe de piratage parrainée par l'État russe connue sous le nom d'ELECTRUM.
La société de cybersécurité de technologie opérationnelle (OT) Dragos, dans un nouveau rapport de renseignement publié mardi, a décrit l'activité de fin décembre 2025 comme la première cyberattaque majeure ciblant les ressources énergétiques distribuées (DER).
“L'attaque a affecté les systèmes de communication et de contrôle des installations de production combinée de chaleur et d'électricité (CHP) et les systèmes qui gèrent la fourniture de systèmes d'énergie renouvelable à partir de sites éoliens et solaires”, a déclaré Dragos. “Bien que l'attaque n'ait pas entraîné de coupure de courant, les adversaires ont eu accès aux systèmes technologiques opérationnels essentiels au fonctionnement du réseau et ont désactivé des équipements clés irréparables sur place.”
Il convient de noter qu'ELECTRUM et KAMACITE partagent un groupe appelé Sandworm (également connu sous le nom d'APT44 et Seashell Blizzard). KAMACITE se concentre sur l'établissement et le maintien d'un accès initial aux organisations ciblées par le biais du phishing, des informations d'identification volées et de l'exploitation des services exposés.
Au-delà de l’accès initial, l’acteur menaçant mène des activités de reconnaissance et de persistance pendant des périodes prolongées dans le cadre d’efforts visant à approfondir ses recherches dans les environnements OT cibles et à maintenir un profil bas, ce qui indique une phase préparatoire minutieuse précédant les actions exécutées par ELECTRUM ciblant les systèmes de contrôle industriels.
“Une fois l'accès activé, ELECTRUM effectue des opérations qui relient les environnements IT et OT, en déployant des outils au sein des réseaux opérationnels, et effectue des actions spécifiques à ICS qui manipulent les systèmes de contrôle ou perturbent les processus physiques”, a déclaré Dragos. “Ces actions comprenaient à la fois des interactions manuelles avec les interfaces des opérateurs et le déploiement de logiciels malveillants ICS spécialement conçus, en fonction des exigences et des objectifs opérationnels.”
En d’autres termes, les deux groupes ont une séparation claire des rôles et des responsabilités, permettant une flexibilité d’exécution et facilitant des intrusions soutenues axées sur l’OT lorsque les conditions sont favorables. En juillet 2025, KAMACITE se serait engagé dans des activités de numérisation d'appareils industriels situés aux États-Unis.
Bien qu'aucune panne d'OT ultérieure n'ait été signalée publiquement à ce jour, cela met en évidence un modèle opérationnel qui n'est pas limité géographiquement et facilite l'identification et le positionnement précoces des accès.
« Les opérations orientées accès de KAMACITE créent les conditions dans lesquelles l'impact des OT devient possible, tandis qu'ELECTRUM applique des techniques d'exécution lorsque le temps, l'accès et la tolérance au risque s'alignent », a-t-il expliqué. “Cette division du travail permet une flexibilité dans l'exécution et permet à l'impact de l'OT de rester une option, même lorsqu'il n'est pas immédiatement exercé. Cela étend le risque au-delà des incidents discrets et dans des périodes prolongées d'exposition latente.”
Dragos a déclaré que l'attaque polonaise visait les systèmes qui facilitent la communication et le contrôle entre les opérateurs de réseau et les actifs de la DER, y compris les actifs qui permettent la connectivité au réseau, permettant à l'adversaire de perturber avec succès les opérations sur environ 30 sites de production distribuée.
Les auteurs de la menace sont considérés comme ayant violé les unités de terminaux distants (RTU) et l'infrastructure de communication sur les sites concernés en utilisant des périphériques réseau exposés et en exploitant les vulnérabilités comme vecteurs d'accès initial. Les résultats indiquent que les attaquants possèdent une connaissance approfondie de l’infrastructure du réseau électrique, ce qui leur permet de désactiver les équipements de communication, y compris certains appareils OT.
Cela dit, l'ampleur des actions malveillantes entreprises par ELECTRUM est inconnue, et Dragos a noté qu'il n'est pas clair si l'auteur de la menace a tenté d'émettre des commandes opérationnelles sur cet ordinateur ou s'il s'est concentré uniquement sur la désactivation des communications.
L'attaque en Pologne est également considérée comme plus opportuniste et précipitée qu'une opération planifiée avec précision, permettant aux pirates informatiques de profiter d'un accès non autorisé pour infliger autant de dégâts que possible en effaçant les appareils Windows pour empêcher la récupération, en réinitialisant les paramètres ou en tentant de bloquer définitivement l'ordinateur. La plupart des équipements sont destinés à la stabilité du réseau et à la surveillance de la sécurité, selon Dragos.
“Cet incident démontre que des adversaires dotés de capacités OT spécifiques ciblent activement les systèmes qui surveillent et contrôlent la production distribuée”, a-t-il ajouté. “La mise hors service irréparable de certains équipements OT ou de systèmes de contrôle industriel (ICS) sur le site a transformé ce qui aurait pu être considéré comme une tentative de prépositionnement de l'adversaire en une attaque.”
