L’attaque informatique « coordonnée » visant plusieurs sites du réseau électrique polonais a été attribuée avec un degré de confiance moyen à un groupe de pirates informatiques parrainé par l’État russe et connu sous le nom d’ELECTRUM .

La société Dragos, spécialisée dans la cybersécurité des technologies opérationnelles (OT), a décrit mardi, dans une nouvelle note de renseignement, l’activité de fin décembre 2025 comme la première cyberattaque majeure ciblant les ressources énergétiques distribuées (DER).

« L’attaque a affecté les systèmes de communication et de contrôle des centrales de cogénération et les systèmes de gestion de la production d’énergie renouvelable provenant de parcs éoliens et solaires », a déclaré Dragos . « Bien que l’attaque n’ait pas entraîné de coupures de courant, les attaquants ont accédé à des systèmes technologiques opérationnels essentiels au fonctionnement du réseau et ont rendu irréparables des équipements clés sur le site. »

Il convient de souligner qu’ELECTRUM et KAMACITE partagent des points communs avec un groupe appelé Sandworm (également connu sous les noms d’APT44 et Seashell Blizzard). KAMACITE se concentre sur l’établissement et le maintien d’un accès initial aux organisations ciblées grâce à des techniques de spear-phishing, au vol d’identifiants et à l’exploitation de services vulnérables.

Au-delà de l’accès initial, l’acteur de la menace effectue des activités de reconnaissance et de persistance sur de longues périodes afin de s’infiltrer profondément dans les environnements OT cibles et de rester discret, signalant une phase préparatoire minutieuse qui précède les actions exécutées par ELECTRUM ciblant les systèmes de contrôle industriels.

« Une fois l’accès autorisé, ELECTRUM effectue des opérations de liaison entre les environnements IT et OT, en déployant des outils au sein des réseaux opérationnels et en réalisant des actions spécifiques aux systèmes de contrôle industriel (ICS) qui manipulent les systèmes de contrôle ou perturbent les processus physiques », a déclaré Dragos . « Ces actions comprennent à la fois des interactions manuelles avec les interfaces opérateur et le déploiement de logiciels malveillants ICS spécialement conçus, selon les exigences et les objectifs opérationnels. »

En d’autres termes, les deux groupes ont une séparation claire des rôles et des responsabilités, ce qui permet une flexibilité d’exécution et facilite les intrusions soutenues axées sur les technologies opérationnelles lorsque les conditions sont favorables. Il semblerait qu’en juillet 2025, KAMACITE ait mené des activités de scan contre des équipements industriels situés aux États-Unis.

Bien qu’aucune perturbation ultérieure des systèmes OT n’ait été signalée publiquement à ce jour, cela met en évidence un modèle opérationnel qui n’est pas limité géographiquement et qui facilite l’identification et le positionnement précoces des accès.

« Les opérations de KAMACITE, axées sur l’accès, créent les conditions propices à l’exploitation des terminaux, tandis qu’ELECTRUM met en œuvre son expertise lorsque le calendrier, l’accès et la tolérance au risque sont réunis », explique l’entreprise. « Cette répartition des tâches offre une grande flexibilité d’exécution et permet d’envisager l’exploitation des terminaux, même si elle n’est pas immédiatement mise en œuvre. Le risque s’étend ainsi au-delà des incidents ponctuels et se prolonge sur des périodes d’exposition latente. »

Dragos a déclaré que l’attaque en Pologne ciblait des systèmes facilitant la communication et le contrôle entre les gestionnaires de réseau et les actifs de production d’énergie décentralisée, notamment les actifs permettant la connectivité du réseau, permettant ainsi à l’adversaire de perturber avec succès les opérations sur une trentaine de sites de production décentralisée.

Il est établi que les auteurs de la menace ont compromis les unités terminales distantes (RTU) et l’infrastructure de communication des sites affectés en utilisant des périphériques réseau exposés et en exploitant des vulnérabilités comme vecteurs d’accès initiaux. Les conclusions indiquent que les attaquants possèdent une connaissance approfondie de l’infrastructure du réseau électrique, ce qui leur permet de désactiver les équipements de communication, y compris certains dispositifs OT.

Cela dit, l’étendue complète des actions malveillantes entreprises par ELECTRUM est inconnue, Dragos notant qu’il n’est pas clair si l’auteur de la menace a tenté d’émettre des commandes opérationnelles à cet équipement ou s’est concentré uniquement sur la désactivation des communications.

L’attaque en Pologne est également considérée comme une opération opportuniste et précipitée, plutôt qu’une opération planifiée avec précision. Les pirates ont ainsi pu exploiter l’accès non autorisé pour causer un maximum de dégâts en effaçant les données des appareils Windows afin d’empêcher toute récupération, en réinitialisant les configurations ou en tentant de rendre définitivement inutilisables les équipements. La majorité des équipements ciblés sont des systèmes de surveillance de la sécurité et de la stabilité du réseau électrique, selon Dragos.

« Cet incident démontre que des adversaires dotés de capacités spécifiques aux technologies opérationnelles ciblent activement les systèmes de surveillance et de contrôle de la production décentralisée », a-t-on ajouté. « La mise hors service irrémédiable de certains équipements de technologies opérationnelles ou de systèmes de contrôle industriel (ICS) sur le site a transformé ce qui aurait pu être perçu comme une tentative de prépositionnement en une véritable attaque. »