Introduction
Une nouvelle souche de ransomware utilise des contrats intelligents sur le réseau Polygon pour la rotation et la distribution des adresses de serveurs proxy afin d’infiltrer des dispositifs. C’est ce qu’a révélé la société de cybersécurité Group-IB jeudi. Le malware, surnommé DeadLock, a été identifié pour la première fois en juillet 2025 et a jusqu’à présent attiré peu d’attention, car il ne dispose pas d’un programme d’affiliation public ni d’un site de fuite de données, et a infecté un nombre limité de victimes, selon l’entreprise.
Caractéristiques de DeadLock
« Bien qu’il soit discret et peu impactant, il applique des méthodes innovantes qui démontrent un savoir-faire en évolution, ce qui pourrait devenir dangereux si les organisations ne prennent pas cette menace émergente au sérieux, » a déclaré Group-IB dans un article de blog.
L’utilisation par DeadLock de contrats intelligents pour livrer des adresses proxy est une méthode intéressante où les attaquants peuvent littéralement appliquer des variantes infinies de cette technique ; l’imagination est la limite, a noté la société.
Comparaison avec EtherHiding
Group-IB a également souligné un rapport récent du Google Threat Intelligence Group, mettant en évidence l’utilisation d’une technique similaire appelée EtherHiding, employée par des hackers nord-coréens. EtherHiding est une campagne révélée l’année dernière, dans laquelle des hackers de la RPDC ont utilisé la blockchain Ethereum pour dissimuler et livrer des logiciels malveillants.
Les victimes sont généralement attirées par des sites web compromis—souvent des pages WordPress—qui chargent un petit extrait de JavaScript. Ce code extrait ensuite la charge utile cachée de la blockchain, permettant aux attaquants de distribuer des malwares d’une manière très résistante aux démantèlements.
Techniques d’attaque
Tant EtherHiding que DeadLock réutilisent des registres publics et décentralisés comme canaux secrets, difficiles à bloquer ou à démanteler pour les défenseurs. DeadLock profite de proxies tournants, qui sont des serveurs changeant régulièrement l’adresse IP d’un utilisateur, rendant plus difficile le suivi ou le blocage.
Bien que Group-IB ait admis que « les vecteurs d’accès initiaux et d’autres étapes importantes des attaques restent inconnus à ce stade, » il a déclaré que les infections par DeadLock renomment les fichiers cryptés avec une extension .dlock et remplacent les fonds d’écran du bureau par des notes de rançon. Les versions plus récentes avertissent également les victimes que des données sensibles ont été volées et pourraient être vendues ou divulguées si une rançon n’est pas payée.
Variantes et infrastructure
Au moins trois variantes du malware ont été identifiées jusqu’à présent. Les versions antérieures s’appuyaient sur des serveurs prétendument compromis, mais les chercheurs pensent maintenant que le groupe opère sa propre infrastructure. L’innovation clé réside cependant dans la manière dont DeadLock récupère et gère les adresses des serveurs.
« Les chercheurs de Group-IB ont découvert du code JavaScript dans le fichier HTML qui interagit avec un contrat intelligent sur le réseau Polygon, » a-t-il expliqué.
Cette liste RPC contient les points de terminaison disponibles pour interagir avec le réseau ou la blockchain Polygon, agissant comme des passerelles qui connectent les applications aux nœuds existants de la blockchain. Sa version récemment observée intègre également des canaux de communication entre la victime et l’attaquant.
DeadLock dépose un fichier HTML qui agit comme un wrapper autour de l’application de messagerie cryptée Session.
« Le principal objectif du fichier HTML est de faciliter la communication directe entre l’opérateur de DeadLock et la victime, » a déclaré Group-IB.
