DeadLock, un grupo de ransomware que surgió por primera vez en julio de 2025, ha vuelto a ser noticia, y esta vez es por abusar de los contratos inteligentes de la cadena de bloques Polygon trac administrar y rotar direcciones de servidores proxy, según una investigación publicada por la firma de ciberseguridad Group-IB.
La operación de ransomware trac inteligentes basados en blockchain para almacenar la URL del servidor proxy del grupo, lo que permite una rotación frecuente que dificulta que los defensores bloqueen la infraestructura de forma permanente.
Después de cifrar los sistemas de una víctima, DeadLock deja caer un archivo HTML que actúa como contenedor para la plataforma de mensajería descentralizada, Session.
¿Cómo funciona el ransomware DeadLock en Polygon?
El código JavaScript incrustado dentro del archivo consulta un contrato inteligente de Polygon específico trac obtener la URL del proxy actual, que luego transmite mensajes cifrados entre la víctima y el ID de sesión del atacante.
Estas llamadas de blockchain de solo lectura no generan transacciones ni tarifas, lo que hace que su mantenimiento sea gratuito para los atacantes.
Los investigadores del Grupo IB señalaron que la explotación de contratos inteligentes trac entregar direcciones proxy es un método interesante en el que los atacantes pueden aplicar infinitas variantes de esta técnica, siendo la imaginación el único límite.
La técnica no está bien documentada y no se informa lo suficiente sobre ella, pero su uso está ganando tracgradualmente, según investigadores de seguridad.
La investigación de Cisco Talos reveló que DeadLock obtiene acceso inicial al explotar CVE-2024-51324, una vulnerabilidad del antivirus Baidu, utilizando una técnica conocida como "traer su propio controlador vulnerable" para terminar los procesos de detección y respuesta de puntos finales.
DeadLock presenta nuevas tácticas
DeadLock es diferente de la mayoría de las operaciones de ransomware porque abandona el enfoque habitual de doble extorsión y no tiene un sitio de fuga de datos donde pueda publicitar los ataques.
En lugar de ello, el grupo amenaza con vender datos robados en mercados clandestinos, mientras ofrece a las víctimas informes de seguridad y promete no volver a atacarlas si se paga un rescate.
trac de infraestructura de Group-IB no ha establecido vínculos entre DeadLock y ningún programa conocido de ransomware. De hecho, el grupo mantiene un perfil relativamente bajo. Sin embargo, encontraron trac creadas y actualizadas inicialmente en agosto de 2025 y posteriormente en noviembre de 2025.
Group-IB afirmó que había “traccon éxito su infraestructura a través de transacciones blockchain, revelando patrones de financiación y servidores activos”
Los actores del Estado-nación adoptan técnicas
Google Threat Intelligence Group observó que el actor de amenazas norcoreano UNC5342 utiliza una técnica relacionada llamada EtherHiding para distribuir malware y facilitar el robo de criptomonedas desde febrero de 2025.
Según Google, “EtherHiding implica incrustar código malicioso, a menudo en forma de cargas útiles de JavaScript, dentro de un contrato inteligente trac una cadena de bloques pública como BNB Smart Chain o Ethereum ”.
Polygon es una cadena de bloques de capa 2 que se basa en la infraestructura de capa 1 de Ethereum
Si bien DeadLock sigue siendo de bajo volumen y bajo impacto, los investigadores de seguridad advierten que aplica métodos innovadores que muestran un conjunto de habilidades que podría volverse peligroso si las organizaciones no toman en serio la amenaza que representa.
Además de pedir a las empresas que sean proactivas en la detección de malware, Group-IB recomendó que agreguen más capas de seguridad, como autenticación multifactor y soluciones basadas endent.
La empresa de ciberseguridad también afirmó que las empresas deben tener una copia de seguridad de los datos, capacitar a sus empleados, corregir las vulnerabilidades y, muy importante, "nunca pagar el rescate", sino contactar a expertos en respuesta adent lo más rápido posible si alguna vez son atacados.
