Le groupe de ransomware DeadLock exploite lestracintelligents de Polygon pour se dissimuler

DeadLock, un groupe de ransomware apparu pour la première fois en juillet 2025, fait de nouveau parler de lui, cette fois-ci pour avoir abusé des contrats intelligents de la blockchain Polygontracde gérer et de faire tourner les adresses des serveurs proxy, selon une étude publiée par la société de cybersécurité Group-IB. 

L' opération de ransomware intelligents basés sur la blockchaintracpour stocker l'URL du serveur proxy du groupe, permettant une rotation fréquente qui rend difficile pour les défenseurs de bloquer définitivement l'infrastructure.

Après avoir crypté les systèmes d'une victime, DeadLock dépose un fichier HTML qui sert d'interface pour la plateforme de messagerie décentralisée Session.

Comment fonctionne le ransomware DeadLock sur Polygon ?

Le code JavaScript intégré au fichier interroge un contrat intelligent Polygon spécifique obtenirtracURL du proxy actuel, qui relaie ensuite des messages chiffrés entre la victime et l'ID de session de l'attaquant. l'

Ces appels blockchain en lecture seule ne génèrent ni transactions ni frais, ce qui les rend gratuits à maintenir pour les attaquants.

Les chercheurs de Group-IB ont noté que l'exploitation des contrats intelligentstracfournir des adresses proxy est une méthode intéressante où les attaquants peuvent appliquer des variantes infinies de cette technique, l'imagination étant la seule limite.

Cette technique est mal documentée et sous-estimée, mais son utilisation gagne progressivement tracterrain, selon des chercheurs en sécurité.

Une enquête menée par Cisco Talos a révélé que DeadLock obtient un accès initial en exploitant la vulnérabilité CVE-2024-51324 de Baidu Antivirus, en utilisant une technique connue sous le nom de « apport de son propre pilote vulnérable » pour mettre fin aux processus de détection et de réponse des points de terminaison.

DeadLock met au point de nouvelles tactiques

DeadLock se distingue de la plupart des opérations de ransomware car il abandonne la méthode habituelle de double extorsion et ne dispose pas d'un site de fuite de données où il pourrait rendre publiques ses attaques.

Au lieu de cela, le groupe menace de vendre les données volées sur des marchés clandestins tout en offrant aux victimes des rapports de sécurité et en promettant de ne pas les cibler à nouveau si une rançon est payée.

de l'infrastructure effectuée par Group-IB tracn'a révélé aucun lien entre DeadLock et les programmes affiliés connus de ransomware. De fait, le groupe opère de manière relativement discrète. Ils ont toutefois découvert des copies de contrats intelligents,tracet mises à jour initialement en août 2025 , puis à nouveau en novembre 2025.

Group-IB a déclaré avoir réussi à «tracson infrastructure grâce à des transactions blockchain, révélant ainsi les schémas de financement et les serveurs actifs »

Les acteurs étatiques adoptent des techniques

Le groupe Google Threat Intelligence a observé depuis février 2025 l'acteur de menace nord-coréen UNC5342 utiliser une technique similaire appelée EtherHiding pour diffuser des logiciels malveillants et faciliter le vol de cryptomonnaies

Selon Google, « l’EtherHiding consiste à intégrer du code malveillant, souvent sous la forme de charges utiles JavaScript, dans un contrat intelligenttracune blockchain publique comme BNB Smart Chain ou Ethereum. »

Polygon est une blockchain de couche 2 construite sur Ethereuml'infrastructure de couche 1 d'

Bien que DeadLock reste une attaque à faible volume et à faible impact, les chercheurs en sécurité avertissent qu'elle utilise des méthodes innovantes démontrant un ensemble de compétences qui pourraient devenir dangereuses si les organisations ne prennent pas au sérieux la menace qu'elle représente.

Outre le fait d'appeler les entreprises à être proactives dans la détection des logiciels malveillants, Group-IB leur a recommandé d'ajouter des couches de sécurité supplémentaires, telles que l'authentification multifactorielle et les solutions basées surdent.

La société de cybersécurité a également déclaré que les entreprises devraient disposer d'une sauvegarde de leurs données, former leurs employés, corriger les vulnérabilités et, surtout, « ne jamais payer la rançon » mais contacter des experts en réponse auxdent le plus rapidement possible en cas d'attaque.