Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
El grupo de ransomware DeadLock explotatracinteligentes de Polygon para obtener sigilo
- El grupo ransomware DeadLock utilizatracinteligentes de Polygon para rotar direcciones de servidores proxy y evadir el bloqueo defensivo.
- DeadLock evita las tácticas tradicionales de doble extorsión y, en su lugar, amenaza con vender datos robados de forma privada mientras ofrece informes de seguridad a las víctimas que pagan.
- Los investigadores de seguridad advierten que las técnicas basadas en blockchain de DeadLock reflejan los métodos utilizados por los actores norcoreanos.
DeadLock, un grupo de ransomware que surgió por primera vez en julio de 2025, ha vuelto a ser noticia, y esta vez es por abusar de los contratos inteligentes de la cadena de bloques Polygontracadministrar y rotar direcciones de servidores proxy, según una investigación publicada por la firma de ciberseguridad Group-IB.
La operación de ransomware inteligentes basados en blockchaintracpara almacenar la URL del servidor proxy del grupo, lo que permite una rotación frecuente que dificulta a los defensores el bloqueo permanente de la infraestructura.
Después de cifrar los sistemas de una víctima, DeadLock deja caer un archivo HTML que actúa como contenedor para la plataforma de mensajería descentralizada, Session.
¿Cómo funciona el ransomware DeadLock en Polygon?
El código JavaScript incrustado en el archivo consulta un contrato inteligente específico Polygontracobtener la URL del proxy actual, que luego retransmite mensajes cifrados entre la víctima y el ID de sesión del atacante. para
Estas llamadas de blockchain de solo lectura no generan transacciones ni tarifas, lo que hace que su mantenimiento sea gratuito para los atacantes.
Los investigadores del Grupo IB señalaron que la explotación de contratos inteligentestracentregar direcciones proxy es un método interesante en el que los atacantes pueden aplicar infinitas variantes de esta técnica, siendo la imaginación el único límite.
La técnica no está bien documentada y no se informa lo suficiente sobre ella, pero su uso está ganando tracgradualmente, según investigadores de seguridad.
Una investigación realizada por Cisco Talos reveló que DeadLock obtiene acceso inicial explotando la vulnerabilidad CVE-2024-51324 de Baidu Antivirus, utilizando una técnica conocida como "traer tu propio controlador vulnerable" para finalizar los procesos de detección y respuesta de los puntos finales.
DeadLock presenta nuevas tácticas
DeadLock es diferente de la mayoría de las operaciones de ransomware porque abandona el enfoque habitual de doble extorsión y no tiene un sitio de fuga de datos donde pueda publicitar los ataques.
En lugar de ello, el grupo amenaza con vender datos robados en mercados clandestinos, mientras ofrece a las víctimas informes de seguridad y promete no volver a atacarlas si se paga un rescate.
de la infraestructura realizado por Group-IB tracno ha encontrado ninguna relación entre DeadLock y ningún programa afiliado de ransomware conocido. De hecho, el grupo mantiene un perfil relativamente bajo. Sin embargo, encontrarontracque se crearon y actualizaron por primera vez en agosto de 2025 y posteriormente en noviembre de 2025.
Group-IB afirmó que había “traccon éxito su infraestructura a través de transacciones blockchain, revelando patrones de financiación y servidores activos”
Los actores del Estado-nación adoptan técnicas
Google Threat Intelligence Group observó que el actor de amenazas norcoreano UNC5342 utiliza una técnica relacionada llamada EtherHiding para distribuir malware y facilitar el robo de criptomonedas desde febrero de 2025.
Según Google, “EtherHiding consiste en incrustar código malicioso, a menudo en forma de cargas útiles de JavaScript, dentro de un contrato inteligentetracuna cadena de bloques pública como BNB Smart Chain o Ethereum”.
Polygon es una cadena de bloques de capa 2 construida sobre Ethereumla infraestructura de capa 1 de
Si bien DeadLock sigue siendo de bajo volumen y bajo impacto, los investigadores de seguridad advierten que aplica métodos innovadores que muestran un conjunto de habilidades que podría volverse peligroso si las organizaciones no toman en serio la amenaza que representa.
Además de pedir a las empresas que sean proactivas en la detección de malware, Group-IB recomendó que agreguen más capas de seguridad, como autenticación multifactor y soluciones basadas endent.
La empresa de ciberseguridad también afirmó que las empresas deben tener una copia de seguridad de los datos, capacitar a sus empleados, corregir las vulnerabilidades y, muy importante, "nunca pagar el rescate", sino contactar a expertos en respuesta adent lo más rápido posible si alguna vez son atacados.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)