Una nueva cepa de ransomware recientemente descubierta está usando la tecnología blockchain como arma para construir una infraestructura de comando y control resiliente que los equipos de seguridad tienen dificultades para desmantelar.
Los investigadores de ciberseguridad de Group-IB disclosed el jueves que el ransomware DeadLock, identificado por primera vez en julio de 2025, almacena direcciones de servidores proxy dentro de contratos inteligentes de Polygon.
La técnica permite a los operadores rotar continuamente los puntos de conexión entre víctimas y atacantes, haciendo ineficaces los métodos tradicionales de bloqueo.
DeadLock ha mantenido un perfil inusualmente bajo a pesar de su sofisticación técnica: opera sin un programa de afiliados ni un sitio público de filtración de datos.
Qué hace diferente a DeadLock
A diferencia de las típicas bandas de ransomware que avergüenzan públicamente a las víctimas, DeadLock threatens con vender los datos robados en mercados clandestinos.
El malware incrusta código JavaScript dentro de archivos HTML que se comunican con contratos inteligentes en la red Polygon.
Estos contratos funcionan como repositorios descentralizados de direcciones de proxy, que el malware recupera mediante llamadas de solo lectura a la cadena de bloques que no generan comisiones de transacción.
Los investigadores identificaron al menos tres variantes de DeadLock, y las versiones más recientes incorporan mensajería cifrada mediante Session para la comunicación directa con las víctimas.
Lea también: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Por qué importan los ataques basados en blockchain
El enfoque refleja “EtherHiding”, una técnica que el grupo de inteligencia de amenazas de Google documented en octubre de 2025 tras observar a actores estatales norcoreanos utilizando métodos similares.
«Esta explotación de contratos inteligentes para entregar direcciones de proxy es un método interesante en el que los atacantes pueden aplicar literalmente variantes infinitas de esta técnica», señaló el analista de Group-IB Xabier Eizaguirre.
La infraestructura almacenada en blockchain resulta difícil de eliminar porque los registros descentralizados no pueden ser incautados ni desconectados como los servidores tradicionales.
Las infecciones de DeadLock renombran los archivos con la extensión “.dlock” y despliegan scripts de PowerShell para deshabilitar servicios de Windows y eliminar copias de sombra.
Según se informa, ataques anteriores explotaron vulnerabilidades en Baidu Antivirus y usaron técnicas de “bring-your-own-vulnerable-driver” para terminar procesos de detección en endpoints.
Group-IB reconoce que todavía hay lagunas en la comprensión de los métodos de acceso inicial de DeadLock y de toda su cadena de ataque, aunque los investigadores confirmaron que el grupo reactivó recientemente sus operaciones con nueva infraestructura de proxy.
La adopción de esta técnica tanto por actores estatales como por ciberdelincuentes con motivación financiera indica una evolución preocupante en la forma en que los adversarios aprovechan la resiliencia de la blockchain con fines maliciosos.
Lea también: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline