Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM.

• Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site.

• Les assaillants ont exploité des appareils réseau exposés et des vulnérabilités pour compromettre des Remote Terminal Units (RTU) et l’infrastructure de communication. Des configurations communes à travers plusieurs sites ont permis de répéter les compromissions à grande échelle. En raison d’une journalisation limitée des communications réseau et des commandes OT, l’étendue précise des actions (au-delà de la désactivation de communications) n’a pas pu être entièrement déterminée. Dragos confirme la désactivation d’équipements de communication, y compris certains dispositifs OT.

• Portée et importance: Il s’agit du premier assaut majeur ciblant des DER à grande échelle, marquant un glissement stratégique par rapport aux attaques historiques sur des points de contrôle centralisés (Ukraine 2015/2016). Au moins 12 sites ont été affectés (probablement plus). L’opération montre que les DER, plus nombreux, fortement connectés et souvent moins protégés, sont désormais des cibles valides pour des adversaires sophistiqués.

• Mise en contexte opérationnelle: La Pologne conserve une forte inertie système (plus de 50% charbon/lignite) avec ~25% de capacité éolien/solaire. Dans des systèmes à plus forte pénétration renouvelable et moins d’inertie, une désactivation coordonnée d’actifs DER pourrait avoir des effets plus sévères (ex.: impact sur la fréquence). Des scénarios illustrent qu’une perte simultanée d’environ 1,2 GW de DER pourrait provoquer des déviations de fréquence notables, bien que la Pologne actuelle aurait probablement absorbé le choc grâce à ses interconnexions et réserves.

• Recommandations de défense (SANS ICS 5 Critical Controls): 1) Réponse à incident OT/ICS adaptée aux DER (restauration manuelle multi-sites, collecte de données réseau/OT). 2) Architecture défendable segmentant chaque site comme une zone indépendante; durcissement des équipements de périmètre. 3) Visibilité et monitoring OT natifs (protocoles ICS comme IEC-104, DNP3, Modbus; détection de séquences multi-sites, changements de configuration). 4) Accès distant sécurisé (MFA, sessions limitées dans le temps, inventaires d’accès, surveillance des patterns d’accès). 5) Gestion des vulnérabilités basée sur le risque, avec focus sur les équipements de bordure (pare-feu, VPN), segmentation et mesures compensatoires quand le patching est difficile.

TTPs observées/mentionnées:

  • Exploitation d’appareils réseau exposés et de vulnérabilités pour atteindre des RTU et l’infrastructure de communication.
  • Compromission répétable via configurations communes entre sites; ciblage d’équipements de bordure (pare-feu) et de connectivité.
  • Désactivation/altération d’équipements de communication et de certains dispositifs OT; tentative de « bricking » de matériels.
  • Déploiement de wipers sur des systèmes Windows pour gêner la restauration et l’analyse (analogie avec des opérations antérieures du même acteur).

IOCs: non communiqués dans ce brief.

Conclusion: Il s’agit d’une analyse de menace et d’un rapport d’incident OT/ICS visant à documenter une attaque coordonnée contre des DER en Pologne, attribuée à ELECTRUM, et à fournir un contexte technique ainsi que des recommandations de défense.

🧠 TTPs et IOCs détectés

TTP

Exploitation d’appareils réseau exposés et de vulnérabilités pour atteindre des RTU et l’infrastructure de communication; Compromission répétable via configurations communes entre sites; Ciblage d’équipements de bordure (pare-feu) et de connectivité; Désactivation/altération d’équipements de communication et de certains dispositifs OT; Tentative de ‘bricking’ de matériels; Déploiement de wipers sur des systèmes Windows pour gêner la restauration et l’analyse.

IOC

non communiqués dans ce brief.

🔗 Source originale : https://hub.dragos.com/thank-you/electrum-targeting-polands-electric-sector