DeadLock, un groupe de ransomware apparu pour la première fois en juillet 2025, fait de nouveau parler de lui, cette fois-ci pour avoir abusé des contrats intelligents de la blockchain Polygon trac de gérer et de faire tourner les adresses des serveurs proxy, selon une étude publiée par la société de cybersécurité Group-IB.
L' opération de ransomware trac intelligents basés sur la blockchain pour stocker l'URL du serveur proxy du groupe, permettant une rotation fréquente qui rend difficile pour les défenseurs de bloquer définitivement l'infrastructure.
Après avoir crypté les systèmes d'une victime, DeadLock dépose un fichier HTML qui sert d'interface pour la plateforme de messagerie décentralisée Session.
Comment fonctionne le ransomware DeadLock sur Polygon ?
Le code JavaScript intégré au fichier interroge un contrat intelligent Polygon spécifique trac obtenir l' URL du proxy actuel, qui relaie ensuite des messages chiffrés entre la victime et l'ID de session de l'attaquant.
Ces appels blockchain en lecture seule ne génèrent ni transactions ni frais, ce qui les rend gratuits à maintenir pour les attaquants.
Les chercheurs de Group-IB ont noté que l'exploitation des contrats intelligents trac fournir des adresses proxy est une méthode intéressante où les attaquants peuvent appliquer des variantes infinies de cette technique, l'imagination étant la seule limite.
Cette technique est mal documentée et sous-estimée, mais son utilisation gagne progressivement tracterrain, selon des chercheurs en sécurité.
Une enquête menée par Cisco Talos a révélé que DeadLock obtient un accès initial en exploitant la vulnérabilité CVE-2024-51324 de Baidu Antivirus, en utilisant une technique connue sous le nom de « apport de son propre pilote vulnérable » pour mettre fin aux processus de détection et de réponse des points de terminaison.
DeadLock met au point de nouvelles tactiques
DeadLock se distingue de la plupart des opérations de ransomware car il abandonne la méthode habituelle de double extorsion et ne dispose pas d'un site de fuite de données où il pourrait rendre publiques ses attaques.
Au lieu de cela, le groupe menace de vendre les données volées sur des marchés clandestins tout en offrant aux victimes des rapports de sécurité et en promettant de ne pas les cibler à nouveau si une rançon est payée.
trac de l'infrastructure effectuée par Group-IB n'a révélé aucun lien entre DeadLock et les programmes affiliés connus de ransomware. De fait, le groupe opère de manière relativement discrète. Ils ont toutefois découvert des copies de contrats intelligents, trac et mises à jour initialement en août 2025 , puis à nouveau en novembre 2025.
Group-IB a déclaré avoir réussi à «tracson infrastructure grâce à des transactions blockchain, révélant ainsi les schémas de financement et les serveurs actifs »
Les acteurs étatiques adoptent des techniques
Le groupe Google Threat Intelligence 2025 l'acteur de menace nord-coréen UNC5342 utiliser une technique similaire appelée EtherHiding pour diffuser des logiciels malveillants et faciliter le vol de cryptomonnaies
Selon Google, « l’EtherHiding consiste à intégrer du code malveillant, souvent sous la forme de charges utiles JavaScript, dans un contrat intelligent trac une blockchain publique comme BNB Smart Chain ou Ethereum . »
Polygon est une blockchain de couche 2 construite sur l'infrastructure de couche 1 d' Ethereum
Bien que DeadLock reste une attaque à faible volume et à faible impact, les chercheurs en sécurité avertissent qu'elle utilise des méthodes innovantes démontrant un ensemble de compétences qui pourraient devenir dangereuses si les organisations ne prennent pas au sérieux la menace qu'elle représente.
Outre le fait d'appeler les entreprises à être proactives dans la détection des logiciels malveillants, Group-IB leur a recommandé d'ajouter des couches de sécurité supplémentaires, telles que l'authentification multifactorielle et les solutions basées surdent.
La société de cybersécurité a également déclaré que les entreprises devraient disposer d'une sauvegarde de leurs données, former leurs employés, corriger les vulnérabilités et, surtout, « ne jamais payer la rançon » mais contacter des experts en réponse auxdent le plus rapidement possible en cas d'attaque.
