سلالة جديدة من برامج الفدية تم اكتشافها مؤخرًا تُسَلِّح تقنية البلوكتشين لبناء بنية تحتية للأمر والتحكم (C2) ذات قدرة عالية على الصمود، تعاني فرق الأمن في تفكيكها.
كشف باحثو الأمن السيبراني في Group-IB يوم الخميس disclosed أن برنامج الفدية DeadLock، الذي تم التعرف عليه أول مرة في يوليو 2025، يخزن عناوين خوادم البروكسي داخل العقود الذكية على شبكة Polygon.
تُمَكِّن هذه التقنية المشغلين من تدوير نقاط الاتصال بين الضحايا والمهاجمين باستمرار، مما يجعل أساليب الحجب التقليدية غير فعّالة.
حافظ DeadLock على مستوى منخفض بشكل غير معتاد رغم تعقيده التقني، إذ يعمل دون برنامج شراكة (affiliate) أو موقع علني لتسريب البيانات.
ما الذي يميز DeadLock؟
على عكس عصابات برامج الفدية النموذجية التي تُشهر بالضحايا علنًا، يهدد DeadLock threatens ببيع البيانات المسروقة عبر الأسواق السرية.
يضمِّن البرمجية الخبيثة شيفرة JavaScript داخل ملفات HTML تتواصل مع العقود الذكية على شبكة بوليجون.
تعمل هذه العقود كمستودعات لامركزية لعناوين البروكسي، والتي تسترجعها البرمجية عبر استدعاءات قراءة فقط للبلوكتشين لا تولّد أي رسوم معاملات.
حدّد الباحثون ما لا يقل عن ثلاث نسخ (متغيرات) من DeadLock، تضمنت الإصدارات الأحدث منها رسائل مشفّرة عبر Session للتواصل المباشر مع الضحايا.
اقرأ أيضًا: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
لماذا تهم الهجمات المعتمدة على البلوكتشين؟
يشبه هذا الأسلوب تقنية "EtherHiding" التي وثّقتها مجموعة استخبارات التهديدات في Google documented في أكتوبر 2025 بعد ملاحظتها جهات مدعومة من الدولة في كوريا الشمالية تستخدم أساليب مماثلة.
قال محلل Group-IB زابير إيزاغيرّي: "إن استغلال العقود الذكية لتسليم عناوين البروكسي طريقة مثيرة للاهتمام، حيث يمكن للمهاجمين حرفيًا تطبيق عدد لا نهائي من المتغيرات لهذه التقنية".
تُثبِت البنية التحتية المخزّنة على البلوكتشين صعوبة إزالتها، لأن السجلات الموزعة اللامركزية لا يمكن مصادرتها أو إيقافها عن العمل مثل الخوادم التقليدية.
تقوم إصابات DeadLock بإعادة تسمية الملفات بإضافة الامتداد ".dlock"، وتستخدم سكربتات PowerShell لتعطيل خدمات ويندوز وحذف النسخ الظلية (Shadow Copies).
تشير تقارير سابقة إلى أن الهجمات استغلت ثغرات في برنامج Baidu Antivirus، واستخدمت أسلوب "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD) لإيقاف عمليات أنظمة كشف التهديدات على نقاط النهاية.
تقر Group-IB بأن هناك فجوات لا تزال قائمة في فهم طرق الوصول الأولية لبرمجية DeadLock وسلسلة الهجوم الكاملة، رغم تأكيد الباحثين أن المجموعة أعادت مؤخرًا تنشيط عملياتها باستخدام بنية جديدة للبروكسي.
يشير تبنّي هذه التقنية من جانب كلٍّ من جهات مدعومة من دول وأطراف إجرامية تسعى للربح المالي إلى تطور مقلق في كيفية استغلال الخصائص الصامدة للبلوكتشين في أغراض خبيثة.
اقرأ أيضًا: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline