Grupo russo ELECTRUM invade sistemas críticos da rede elétrica polonesa e expõe fragilidade de infraestruturas de energia
O grupo de hackers de origem russa conhecido como ELECTRUM foi identificado como o principal responsável por um ataque cibernético altamente sofisticado contra a infraestrutura elétrica da Polônia, ocorrido em dezembro de 2025. A operação teve como foco direto componentes críticos da rede, atingindo sistemas de controle, dispositivos operacionais e ativos distribuídos de energia em diferentes regiões do país.
De acordo com a análise técnica conduzida pela empresa de segurança Dragos, os invasores conseguiram comprometer múltiplas camadas do ecossistema elétrico polonês. Entre os alvos estavam equipamentos de campo, sistemas de controle remoto e plataformas operacionais responsáveis pela supervisão e gerenciamento da geração e distribuição de energia.
O ataque se concentrou especialmente em ativos de energia renovável – principalmente usinas eólicas e solares. Esses recursos, que são fundamentais para a transição energética e a redução da dependência de combustíveis fósseis, mostraram-se vulneráveis quando conectados a redes com falhas de proteção cibernética. Os hackers exploraram vulnerabilidades já conhecidas em dispositivos de rede e em sistemas industriais, o que indica, ao mesmo tempo, falhas de atualização e ausência de camadas adicionais de defesa.
Os criminosos digitais obtiveram acesso remoto a unidades de controle e a equipamentos essenciais à operação da rede. A partir desse ponto, passaram a emitir comandos maliciosos, modificar parâmetros de funcionamento e interferir diretamente na lógica operacional dos sistemas. Em diversos casos, essa manipulação resultou em danos físicos e lógicos aos dispositivos afetados.
Embora o ataque não tenha provocado um apagão em grande escala ou a interrupção prolongada do fornecimento de energia à população, o impacto foi considerado grave. Aproximadamente 30 instalações de geração e apoio operacional sofreram danos permanentes. Em parte delas, os equipamentos foram “brickados” – isto é, tornaram-se completamente inutilizáveis, como se fossem reduzidos a meros “tijolos” eletrônicos, sem possibilidade de recuperação por métodos tradicionais de manutenção.
Em alguns desses locais, a destruição foi tão severa que o retorno à operação normal exigiu a substituição integral de componentes de alto custo e longa cadeia de fornecimento. Isso revela um aspecto crítico dos ataques contra infraestrutura: mesmo sem causar um grande apagão imediato, o prejuízo financeiro, logístico e operacional pode ser profundo e duradouro.
O ELECTRUM é associado ao cluster de ameaças conhecido como Sandworm, também identificado como APT44, grupo historicamente vinculado a interesses estratégicos do governo russo. Trata-se de uma operação com forte viés de sabotagem e impacto em infraestruturas críticas, indo além do simples roubo de dados ou extorsão financeira.
A ação do ELECTRUM não ocorre de forma isolada. Eles operam em estreita colaboração com outro grupo especializado, o KAMACITE, responsável primordialmente pela fase inicial da intrusão. O KAMACITE atua na quebra das barreiras de entrada — explorando vulnerabilidades, engenharia social ou falhas de credenciais — para estabelecer o primeiro ponto de acesso à rede alvo. Uma vez consolidada essa porta de entrada, o ELECTRUM assume o controle tático e operacional, conduzindo movimentos laterais, escalando privilégios e preparando o terreno para ataques destrutivos direcionados.
Esse modelo de atuação em “dupla camada” ilustra a crescente especialização do cibercrime ligado a operações estatais: um grupo foca na infiltração, outro na sabotagem de alto impacto. Em ambientes industriais e de infraestrutura crítica, essa divisão de tarefas tende a aumentar o grau de sofisticação, reduzir erros operacionais e tornar as campanhas mais difíceis de detectar precocemente.
Um dos aspectos mais preocupantes desse episódio é a mudança de foco dos atacantes. Em vez de mirar apenas grandes usinas centrais ou sistemas de transmissão de alto porte, o alvo agora se estende aos chamados recursos energéticos distribuídos — um mosaico de ativos menores, conectados em rede, que inclui fazendas solares, parques eólicos, usinas de biomassa e até unidades de geração local. Esses elementos são essenciais para a construção de uma matriz energética mais limpa e resiliente, mas, ao mesmo tempo, multiplicam a superfície de ataque.
Ao espalhar a inteligência da rede em milhares de pontos, o sistema elétrico ganha flexibilidade, mas também se torna mais complexo de proteger. Quando cada unidade de geração conectada possui sistemas próprios de controle, muitas vezes baseados em tecnologias de TI tradicionais, abre-se uma porta potencial para invasores explorarem brechas, credenciais fracas, sistemas desatualizados e configurações inadequadas.
Entre os danos identificados nos ambientes afetados na Polônia, foram relatadas alterações não autorizadas de configuração em controladores e equipamentos industriais, exclusão deliberada de dados relevantes para a operação e auditoria e a emissão de comandos maliciosos em sistemas baseados em Windows. Em determinados casos, operadores perderam completamente a capacidade de interagir com as unidades contaminadas, ficando cegos diante do que ocorria nos ativos comprometidos.
Esse tipo de perda de visibilidade e controle é especialmente perigoso em infraestruturas críticas, nas quais segundos de atraso ou respostas indevidas podem desencadear falhas em cascata, danos físicos a equipamentos e riscos à segurança de trabalhadores e da população. Mesmo quando um ataque não se traduz em um grande apagão, a incerteza sobre a integridade dos sistemas pode levar operadores a reduzir cargas, desligar preventivamente ativos ou operar em modos mais conservadores, afetando a confiabilidade do serviço.
O caso polonês também serve de alerta para países que ainda não estruturaram marcos regulatórios robustos de responsabilização e gestão de risco em infraestruturas críticas. Em muitos lugares, inclusive no Brasil, a discussão sobre cibersegurança no setor elétrico ainda está aquém da urgência técnica. A ausência de normas claras, requisitos mínimos obrigatórios, mecanismos de supervisão e penalidades efetivas dificulta a criação de uma cultura de proteção consistente em todo o ecossistema.
Outro ponto sensível é a dependência crescente de fornecedores externos de tecnologia e serviços de cibersegurança. A proliferação de empresas de fachada ou de baixa qualificação, que se apresentam como especialistas em segurança digital, representa um risco adicional. Em vez de fortalecer a defesa, fornecedores frágeis podem introduzir novas vulnerabilidades, implantar soluções mal configuradas ou deixar brechas em processos críticos, como gestão de acessos, monitoramento de incidentes e resposta a crises.
Organizações responsáveis por redes elétricas, usinas renováveis e operadores de infraestrutura essencial precisam adotar critérios rigorosos na seleção de parceiros de cibersegurança. Avaliações técnicas, histórico comprovado de atuação, certificações reconhecidas e auditorias independentes devem fazer parte do processo. A proteção de ativos industriais não pode ser tratada como mera formalidade contratual, mas como pilar estratégico equivalente à engenharia, à manutenção e à gestão financeira.
Nesse contexto, a formação de profissionais qualificados em cibersegurança ofensiva e defensiva voltada para ambientes industriais torna-se indispensável. Novas certificações especializadas em Cibersegurança Ofensiva, voltadas ao mercado brasileiro e alinhadas às particularidades de sistemas industriais e de controle, podem ajudar a reduzir o gap de competências técnicas. Testes de intrusão realistas, simulações de ataques em ambientes controlados e exercícios de Red Team e Blue Team são ferramentas valiosas para identificar falhas antes que grupos como o ELECTRUM as explorem.
Ao mesmo tempo, é fundamental que operadores de infraestrutura não vejam a segurança ofensiva apenas como uma “moda” ou um selo de marketing. O objetivo deve ser criar um ciclo contínuo de melhoria: identificar vulnerabilidades, corrigi-las, testar novamente, ajustar processos e treinar equipes. A maturidade em cibersegurança não se alcança com uma solução única, mas com camadas de proteção técnicas, organizacionais e regulatórias funcionando em conjunto.
O ataque à rede elétrica da Polônia reforça uma mensagem clara: a transição para energia limpa, baseada em fontes renováveis e recursos distribuídos, não é apenas um desafio de engenharia e política energética, mas também de cibersegurança. Cada novo inversor conectado, cada controladora remota e cada sistema de supervisão que entra na rede amplia o potencial de eficiência e sustentabilidade, mas também a necessidade de proteção.
Para mitigar riscos semelhantes, recomenda-se que empresas do setor elétrico e de renováveis implementem práticas como: segmentação rigorosa de redes de TI e TO (Tecnologia Operacional), gestão estruturada de vulnerabilidades e atualizações, autenticação forte para acessos remotos, monitoramento contínuo com foco em anomalias em sistemas industriais e planos de resposta a incidentes específicos para cenários de sabotagem em infraestruturas críticas.
A cooperação entre operadores de rede, órgãos governamentais, reguladores e comunidade técnica é outro elemento central. Compartilhamento de informações sobre indicadores de comprometimento, táticas e ferramentas utilizadas por grupos como o ELECTRUM possibilita que outras organizações reforcem suas defesas antes de se tornarem alvo. Em um cenário em que ciberataques se entrelaçam com disputas geopolíticas, a proteção de infraestruturas estratégicas deixa de ser apenas um problema técnico e assume dimensões de segurança nacional.
O episódio polonês mostra, de forma contundente, que mesmo sem um grande blecaute, um ataque bem-sucedido a sistemas críticos pode gerar danos duradouros, corroer a confiança nas redes elétricas modernas e elevar significativamente o custo da transição energética. Ignorar essa realidade, sobretudo em países que ainda não consolidaram marcos de responsabilização e práticas maduras de segurança, significa aceitar que o próximo ataque pode ser não apenas destrutivo, mas também visível para toda a sociedade.