Grupo russo ELECTRUM invade sistemas críticos da rede elétrica e expõe fragilidade de infraestruturas renováveis
O grupo de cibercriminosos russos conhecido como ELECTRUM foi identificado como o principal responsável por um ataque altamente sofisticado contra a infraestrutura elétrica da Polônia em dezembro de 2025. A ofensiva teve como alvo direto partes sensíveis da rede, comprometendo componentes críticos de controle e equipamentos operacionais espalhados por diferentes regiões do país, segundo análise técnica da empresa de segurança Dragos.
Diferentemente de ataques mais tradicionais, que costumam mirar grandes usinas ou centros de controle centrais, a operação do ELECTRUM foi cuidadosamente planejada para atingir ativos ligados à geração e distribuição de energia renovável. Usinas eólicas e solares tornaram-se o foco preferencial, evidenciando uma clara mudança de estratégia: em vez de concentrar a ação em poucos alvos de grande porte, o grupo direcionou esforços para recursos energéticos distribuídos, que hoje são fundamentais para a transição global para fontes limpas.
Os invasores exploraram vulnerabilidades já conhecidas em unidades de controle remoto, dispositivos de rede e sistemas operacionais industriais, obtendo acesso privilegiado para manipular remotamente esses equipamentos. A partir desse ponto, foram capazes de alterar parâmetros de operação, enviar comandos maliciosos e provocar falhas permanentes em diversos dispositivos, demonstrando conhecimento profundo tanto em tecnologia de informação (TI) quanto em tecnologia operacional (TO).
Embora o ataque não tenha resultado em apagões em larga escala ou em uma interrupção massiva no fornecimento de energia, o impacto foi significativo. Aproximadamente 30 instalações sofreram danos permanentes. Em parte delas, equipamentos foram literalmente “brickados” — ou seja, inutilizados a ponto de se tornarem semelhantes a um “pedaço de tijolo”, sem possibilidade de recuperação por meios convencionais. Isso não apenas dificulta o retorno à operação normal, como também eleva drasticamente os custos de substituição de ativos e de restauração da infraestrutura.
O ELECTRUM é associado ao cluster de ameaças conhecido como Sandworm, ou APT44, amplamente vinculado a interesses estratégicos do governo russo. Esse grupo é apontado há anos como responsável por campanhas de sabotagem em larga escala contra infraestruturas críticas, especialmente em países percebidos como adversários geopolíticos. No caso polonês, a conexão reforça a leitura de que não se trata apenas de crime digital, mas de uma operação com forte componente de guerra cibernética.
A atuação do ELECTRUM não ocorre de forma isolada. Eles frequentemente operam em cooperação com outro grupo, o KAMACITE, especializado em obter o acesso inicial aos ambientes atacados. Em geral, o KAMACITE é responsável por explorar falhas, fraquezas em credenciais, e-mails maliciosos ou brechas em serviços expostos à internet para entrar na rede-alvo. Uma vez consolidado esse ponto de entrada, o ELECTRUM assume o controle da operação, movimentando-se lateralmente pelos sistemas, escalando privilégios e, por fim, executando sabotagens deliberadas em ambientes industriais e de controle de processos.
Entre os danos documentados na ofensiva contra a Polônia, técnicos relataram mudanças indevidas de configuração em sistemas críticos, exclusão de dados essenciais para a operação e o disparo de comandos maliciosos em plataformas baseadas em Windows, amplamente empregadas em ambientes de supervisão e controle (SCADA e sistemas de gestão de energia). Em alguns casos, operadores perderam totalmente a capacidade de comandar remotamente as unidades comprometidas, ficando temporariamente “cegos” e “mãos atadas” diante do que acontecia em campo.
Esse tipo de incidente evidencia como a digitalização da rede elétrica — com a adoção de dispositivos inteligentes, automação avançada e integração em tempo real — traz ganhos de eficiência, mas também amplia a superfície de ataque. Recursos energéticos distribuídos, como pequenos parques solares, conjuntos de aerogeradores e sistemas de armazenamento em baterias, passaram a ser conectados em larga escala, muitas vezes sem o mesmo rigor de segurança aplicado a grandes usinas tradicionais. Isso cria um mosaico complexo de pontos vulneráveis que, se explorados de forma coordenada, podem comprometer a estabilidade de toda a rede.
O caso polonês reforça ainda uma preocupação global: a fragilidade regulatória e a assimetria de preparo entre países. Em muitos lugares, inclusive no Brasil, ainda não existe um marco robusto e efetivo de responsabilização por incidentes cibernéticos em infraestruturas críticas. Falta clareza sobre deveres mínimos de proteção, requisitos obrigatórios de segurança, padrões de reporte de incidentes e penalidades proporcionais para organizações que negligenciam a proteção de ativos estratégicos. Esse vácuo jurídico e regulatório acaba incentivando uma postura reativa, em vez de preventiva.
Outra dimensão preocupante é a proliferação de empresas de “cibersegurança de fachada”, que se apresentam como especialistas em proteção de infraestruturas críticas, mas na prática entregam soluções rasas ou meramente cosméticas. Ao contratar consultorias sem real capacidade técnica, operadores de rede e empresas do setor elétrico correm o risco de acreditar que estão protegidos, quando na verdade seguem expostos a ameaças avançadas como as conduzidas por grupos do porte do ELECTRUM e Sandworm. Isso pode gerar uma falsa sensação de segurança que, em cenários de crise, cobra um preço altíssimo.
Do ponto de vista técnico, o ataque também chama a atenção pela combinação de conhecimento em protocolos industriais, engenharia de redes e sistemas operacionais comuns ao ambiente corporativo. A manipulação de dispositivos de campo, aliada ao uso de ferramentas capazes de explorar vulnerabilidades em Windows e em softwares de supervisão, mostra que a fronteira entre TI e TO está cada vez mais tênue. Organizações que ainda tratam essas duas camadas de forma totalmente isolada tendem a ficar em desvantagem, pois os invasores enxergam o ecossistema como um todo integrado.
A expansão de certificações especializadas em Cibersegurança Ofensiva orientadas ao mercado brasileiro pode ajudar a reverter parte desse cenário, desde que sejam programas sérios, com carga prática intensa e foco em ambientes reais de infraestruturas críticas. Formar profissionais capazes de pensar como um atacante — testando continuamente a resiliência de redes, sistemas de automação e plataformas de gestão de energia — é um passo essencial para antecipar movimentos de grupos avançados e corrigir brechas antes que sejam exploradas de forma maliciosa.
Para o setor elétrico, a principal lição é que proteger apenas o “coração” da rede deixou de ser suficiente. É indispensável estender controles de segurança para a borda: subestações remotas, parques renováveis, inversores solares, sistemas de monitoramento meteorológico e qualquer outro elemento que interfira na geração, transmissão ou distribuição de energia. Isso inclui segmentação rigorosa de rede, autenticação forte em dispositivos de campo, atualização constante de firmware, monitoramento contínuo de anomalias e planos de resposta a incidentes específicos para ambientes industriais.
Também se torna urgente investir em exercícios de simulação de ataque (red teaming e testes de intrusão orientados a TO) que considerem cenários como o da Polônia: invasão silenciosa de unidades remotas, sabotagem de equipamentos, perda de visibilidade operacional e tentativa de causar danos físicos a longo prazo. Quanto mais realistas forem esses exercícios, melhor as equipes técnicas e de gestão conseguirão reagir sob pressão, reduzindo o tempo de detecção, contenção e recuperação.
Do ponto de vista geopolítico, ofensivas como a do ELECTRUM indicam que infraestruturas de energia renovável já estão plenamente inseridas no tabuleiro da guerra cibernética. Países que apostam fortemente em fontes limpas precisam compreender que a segurança digital é parte indissociável da sua estratégia de transição energética. Não basta instalar painéis solares e aerogeradores em larga escala; é preciso garantir que esses ativos possam operar com resiliência mesmo diante de ataques conduzidos por grupos patrocinados por Estados.
Por fim, o episódio polonês deve servir de alerta para que governos, reguladores, operadores de rede e empresas privadas atuem de forma coordenada. Criar normas claras, fiscalizar sua aplicação, incentivar a transparência na notificação de incidentes, punir negligências graves e, ao mesmo tempo, fomentar capacitação técnica são passos fundamentais para reduzir o espaço de manobra de grupos como ELECTRUM, Sandworm e KAMACITE. A transição para uma matriz energética mais limpa só será sustentável se vier acompanhada de uma arquitetura sólida de segurança cibernética em toda a cadeia elétrica.