Nueva cepa de ransomware: DeadLock
Una nueva cepa de ransomware está utilizando contratos inteligentes de Polygon para la rotación y distribución de direcciones de servidores proxy con el fin de infiltrarse en dispositivos. Así lo advirtió la firma de ciberseguridad Group-IB el jueves. El malware, denominado DeadLock, fue identificado por primera vez en julio de 2025 y hasta ahora ha atraído poca atención debido a que carece de un programa de afiliados público y de un sitio de filtración de datos, habiendo infectado solo a un número limitado de víctimas, según la empresa.
«Aunque es de bajo perfil y hasta ahora de bajo impacto, aplica métodos innovadores que demuestran un conjunto de habilidades en evolución que podrían volverse peligrosas si las organizaciones no toman en serio esta amenaza emergente»
afirmó Group-IB en un blog. El uso de contratos inteligentes por parte de DeadLock para entregar direcciones proxy es «un método interesante, donde los atacantes pueden literalmente aplicar infinitas variantes de esta técnica; la imaginación es el límite», señaló la firma.
Técnicas similares y su evolución
Group-IB hizo referencia a un informe reciente del Google Threat Intelligence Group que destaca el uso de una técnica similar llamada «EtherHiding», empleada por hackers norcoreanos. EtherHiding es una campaña divulgada el año pasado en la que hackers de la DPRK utilizaron la blockchain de Ethereum para ocultar y entregar software malicioso. Las víctimas son típicamente atraídas a través de sitios web comprometidos, frecuentemente páginas de WordPress, que cargan un pequeño fragmento de JavaScript. Ese código luego extrae la carga oculta de la blockchain, permitiendo a los atacantes distribuir malware de una manera que es altamente resistente a desmantelamientos.
Tanto EtherHiding como DeadLock reutilizan libros de contabilidad públicos y descentralizados como canales encubiertos que son difíciles de bloquear o desmantelar para los defensores.
Características de DeadLock
DeadLock aprovecha los proxies rotativos, que son servidores que cambian regularmente la IP de un usuario, dificultando su seguimiento o bloqueo. Si bien Group-IB admitió que «los vectores de acceso inicial y otras etapas importantes de los ataques siguen siendo desconocidos en este momento», indicó que las infecciones de DeadLock renombraron archivos encriptados con una extensión .dlock y reemplazaron los fondos de escritorio con notas de rescate. Las versiones más recientes también advierten a las víctimas que se han robado datos sensibles y que podrían ser vendidos o filtrados si no se paga un rescate. Hasta ahora se han identificado al menos tres variantes del malware. Las versiones anteriores dependían de servidores supuestamente comprometidos, pero los investigadores ahora creen que el grupo opera su propia infraestructura.
Innovación en la gestión de direcciones
Sin embargo, la clave de la innovación radica en cómo DeadLock recupera y gestiona las direcciones de los servidores.
«Los investigadores de Group-IB descubrieron código JS dentro del archivo HTML que interactúa con un contrato inteligente a través de la red Polygon»
, explicó.
«Esta lista RPC contiene los puntos finales disponibles para interactuar con la red o blockchain de Polygon, actuando como puertas de enlace que conectan aplicaciones a los nodos existentes de la blockchain.»
Su versión más recientemente observada también incrusta canales de comunicación entre la víctima y el atacante. DeadLock deja un archivo HTML que actúa como un envoltorio alrededor de la aplicación de mensajería encriptada Session.
«El propósito principal del archivo HTML es facilitar la comunicación directa entre el operador de DeadLock y la víctima»
, concluyó Group-IB.
