No final de dezembro de 2025, foi detectada uma operação maliciosa que, embora não tenha provocado cortes em massa de fornecimento, deixou uma marca preocupante na evolução da cibersegurança industrial: múltiplas instalações de geração distribuídas na rede elétrica polaca foram atacadas e, em vários casos, alguns equipamentos ficaram inutilizáveis. De acordo com a análise publicada pela assinatura especialista em segurança OT Dragos, a campanha (calificada com confiança média) é atribuída a um grupo ligado ao Estado russo conhecido como ELECTRUM, que teria trabalhado em tandem com um agrupamento complementar chamado KAMACITE para facilitar acesso e execução em ambientes industriais ( Relatório de Dragos).
O que torna este episódio singular é o alvo escolhido: recursos energéticos distribuídos (DERs), como instalações eólicas, solares e plantas de co-geração (CHP). Estes activos, cada vez mais presentes em redes modernizadas e descarbonizadas, não só geram energia; também dependem de camadas de comunicação e controle que os conectam com operadores de rede. A intrusão afetou sistemas de comunicação e controle que mediam entre o operador e esses recursos, e em aproximadamente 30 locais os atacantes conseguiram degradar ou destruir equipamentos críticos in situ, segundo Dragos ( análise mais ampla de táticas).
O modus operandi descrito combina duas fases bem diferenciadas. KAMACITE tem se centrado em abrir portas: digitalização de dispositivos expostos, spear-phishing, roubo de credenciais e exploração de serviços visíveis na internet para estabelecer presença inicial. ELECTRUM, por sua vez, atua quando essa presença já está ancorada para se mover entre redes IT e OT, implantar ferramentas específicas e, por vezes, manipular controladores industriais. Esta divisão de tarefas permite manter uma janela de exposição latente durante longos períodos, com a opção de executar ataques destrutivos quando as condições o permitem — uma prática que estende o risco para além do incidente pontual.
Em termos técnicos, os atacantes teriam aproveitado dispositivos de rede expostos e vulnerabilidades para comprometer unidades terminais remotas (RTUs) e infra-estruturas de comunicação. O dano descrito incluiu remoção de sistemas Windows para complicar a recuperação, reseteio de configurações e, em alguns casos, a tentativa de deixar equipamentos fisicamente inserviveis. Dragos sublinha que a maioria dos aparelhos atacados estavam orientados à monitorização de segurança e estabilidade da rede, o que aumenta a gravidade do sucesso mesmo quando não se chegassem a executar comandos operacionais diretos contra as centrais.
Embora não haja confirmação pública de que os atacantes tentassem controlar diretamente processos elétricos (abrir ou fechar breakers, por exemplo), o simples fato de poder interromper as comunicações e deixar fora de serviço equipamentos de vigilância já complica significativamente a gestão da rede pelos operadores. O episódio deixa claro que controlar a telemetria e a conectividade dos DERs é agora um vetor de risco com consequências reais para a resiliência do sistema elétrico.
Este caso também confirma uma tendência que os especialistas assinalaram desde ataques anteriores: os adversários com capacidades OT estão cada vez mais interessados na infraestrutura energética distribuída. As lições do ataque à rede ucraniana em 2015 ainda estão presentes na literatura técnica e nas recomendações operacionais ( Análise histórica de Dragos). Mas a diferença atual é que a proliferação de DERs introduz muitos pontos de conexão direta ou indireta com a rede, o que amplia a superfície de ataque.
O que você pode extrair a indústria deste incidente? Em primeiro lugar, que a visibilidade e o controle over as comunicações entre operadores e ativos distribuídos devem ser reforçadas; ter inventários atualizados de dispositivos, identificar quais serviços estão expostos à internet e aplicar segmentação real entre ambientes IT e OT deixa de ser uma recomendação para se tornar requisito operacional. Em segundo lugar, medidas clássicas como a autenticação multifator, a redução de credenciais compartilhadas e a higiene de adesivos para dispositivos conectados continuam a ser eficazes se forem implantadas com rigor. Neste sentido, os guias de organismos como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA são um bom ponto de partida para operadores que precisam de priorizar ações ( Recursos de CISA sobre ICS) e as recomendações técnicas detalhadas de NIST oferecem quadros práticos para proteger sistemas de controlo ( NIST SP 800-82).
Há também uma dimensão organizativa: a resposta a este tipo de riscos exige uma coordenação estreita entre equipamentos de segurança IT e responsáveis OT, planos de recuperação que considerem a reparação ou substituição de dispositivos especializados e exercícios de simulação que contemplem a perda de telemetria dos DERs. Além disso, a cadeia de fornecimento —firmware, dispositivos de comunicação, serviços de OEM — deve ser submetida a controlos mais rigorosos para reduzir a possibilidade de portas traseiras ou componentes comprometidos.
Finalmente, convém não confundir a ausência de apagões com a inexistência de danos. Um ataque que não provoca cortes visíveis pode igualmente destruir activos, aumentar custos de reposição, e deixar uma rede numa situação de risco elevada durante a recomposição da infra-estrutura. A indústria energética entra numa nova fase em que a modernização e a digitalização devem ir da mão de uma cibersegurança concebida especificamente para ambientes industriais, não adaptada do mundo corporativo IT.
Para aqueles que querem aprofundar, o relatório detalhado de Dragos sobre o ataque na Polónia e o seu relatório mais amplo sobre a atividade de ELECTRUM e KAMACITE fornecem detalhes técnicos e cronologias que ajudam a compreender a escala e a sofisticação destas operações ( relatório do ataque, Relatório sobre tradecraft). Manter a guarda alta, investir em detecção especializada e reforçar a colaboração entre operadores e autoridades será fundamental para evitar que incidentes como este se traduzem em interrupções maiores no futuro.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...