- Group-IB va publicar el seu informe el 15 de gener i va dir que el mètode podria dificultar la interrupció dels defensors.
- El programari maliciós llegeix dades de la cadena, de manera que les víctimes no paguen tarifes de gas.
- Els investigadors van dir que Polygon no és vulnerable, però la tàctica es podria estendre.
Els grups de ransomware solen confiar en servidors de comandament i control per gestionar les comunicacions després d’entrar en un sistema.
Però els investigadors de seguretat ara diuen que una soca de baix perfil està utilitzant la infraestructura blockchain d’una manera que podria ser més difícil de bloquejar.
En un informe publicat el 15 de gener, l’empresa de ciberseguretat Group-IB va dir que una operació de ransomware coneguda com DeadLock està abusant dels contractes intel·ligents de Polygon (POL) per emmagatzemar i girar adreces de servidor intermediari.
Aquests servidors intermediaris s’utilitzen per transmetre la comunicació entre atacants i víctimes després d’infectar els sistemes.
Com que la informació es troba a la cadena i es pot actualitzar en qualsevol moment, els investigadors van advertir que aquest enfocament podria fer que el backend del grup sigui més resistent i més difícil d’interrompre.
Contractes intel·ligents utilitzats per emmagatzemar informació de proxy
Group-IB va dir que DeadLock no depèn de la configuració habitual dels servidors d’ordres i control fixos.
En canvi, una vegada que una màquina està compromesa i xifrada, el ransomware consulta un contracte intel·ligent específic desplegat a la xarxa Polygon.
Aquest contracte emmagatzema l’última adreça de proxy que DeadLock utilitza per comunicar-se. El servidor intermediari actua com a capa mitjana, ajudant als atacants a mantenir el contacte sense exposar directament la seva infraestructura principal.
Com que les dades del contracte intel·ligent són llegibles públicament, el programari maliciós pot recuperar els detalls sense enviar cap transacció de cadena de blocs.
Això també significa que les víctimes no han de pagar tarifes de gas ni interactuar amb carteres.
DeadLock només llegeix la informació, tractant la cadena de blocs com una font persistent de dades de configuració.
Infraestructura rotativa sense actualitzacions de programari maliciós
Un dels motius pels quals destaca aquest mètode és la rapidesa amb què els atacants poden canviar les seves vies de comunicació.
Group-IB va dir que els actors darrere de DeadLock poden actualitzar l’adreça de proxy emmagatzemada dins del contracte sempre que sigui necessari.
Això els dóna la possibilitat de rotar la infraestructura sense modificar el propi ransomware ni impulsar noves versions a la natura.
En els casos de ransomware tradicionals, els defensors de vegades poden bloquejar el trànsit mitjançant la identificació de servidors de comandament i control coneguts.
Però amb una llista de proxy a la cadena, qualsevol proxy que es marca es pot substituir simplement actualitzant el valor emmagatzemat del contracte.
Un cop establert el contacte mitjançant el proxy actualitzat, les víctimes reben sol·licituds de rescat juntament amb amenaces que la informació robada es vendrà si no es fa el pagament.
Per què les retirades es fan més difícils
Group-IB va advertir que l’ús de dades de blockchain d’aquesta manera fa que la interrupció sigui molt més difícil.
No hi ha cap servidor central únic que es pugui capturar, eliminar o tancar.
Fins i tot si es bloqueja una adreça de proxy específica, els atacants poden canviar a una altra sense haver de tornar a desplegar el programari maliciós.
Com que el contracte intel·ligent segueix sent accessible a través dels nodes distribuïts de Polygon a tot el món, les dades de configuració poden continuar existint fins i tot si la infraestructura dels atacants canvia.
Els investigadors van dir que això ofereix als operadors de ransomware un mecanisme de comandament i control més resistent en comparació amb les configuracions d’allotjament convencionals.
Una petita campanya amb un mètode inventiu
DeadLock es va observar per primera vegada el juliol de 2025 i fins ara s’ha mantingut de perfil relativament baix.
Group-IB va dir que l’operació només té un nombre limitat de víctimes confirmades.
L’informe també va assenyalar que DeadLock no està vinculat a programes d’afiliació de ransomware coneguts i no sembla que faci funcionar un lloc públic de filtració de dades.
Tot i que això pot explicar per què el grup ha rebut menys atenció que les principals marques de ransomware, els investigadors van dir que el seu enfocament tècnic mereix un seguiment atent.
Group-IB va advertir que encara que DeadLock segueixi sent petit, la seva tècnica podria ser copiada per grups cibercriminals més establerts.
No hi ha cap vulnerabilitat de polígon implicada
Els investigadors van destacar que DeadLock no està explotant cap vulnerabilitat al mateix Polygon.
Tampoc està atacant contractes intel·ligents de tercers, com ara protocols financers descentralitzats, carteres o ponts.
En canvi, els atacants estan abusant de la naturalesa pública i immutable de les dades de blockchain per ocultar la informació de configuració.
Group-IB va comparar la tècnica amb els enfocaments anteriors “EtherHiding”, on els delinqüents utilitzaven xarxes blockchain per distribuir dades de configuració malicioses.
Diversos contractes intel·ligents connectats a la campanya es van implementar o actualitzar entre l’agost i el novembre de 2025, segons l’anàlisi de l’empresa.
Els investigadors van dir que l’activitat continua sent limitada de moment, però el concepte podria ser reutilitzat de moltes formes diferents per altres actors d’amenaça.
Tot i que els usuaris i desenvolupadors de Polygon no s’enfronten al risc directe d’aquesta campanya específica, Group-IB va dir que el cas és un altre recordatori que les cadenes de blocs públiques es poden utilitzar malament per donar suport a l’activitat criminal fora de la cadena de maneres difícils de detectar i desmuntar.
