Une nouvelle souche de rançongiciel récemment découverte arme la technologie blockchain pour construire une infrastructure de commande et de contrôle résiliente que les équipes de sécurité peinent à démanteler.
Les chercheurs en cybersécurité de Group-IB ont divulgué jeudi que le rançongiciel DeadLock, identifié pour la première fois en juillet 2025, stocke des adresses de serveurs proxy à l’intérieur de smart contracts Polygon.
Cette technique permet aux opérateurs de faire tourner en continu les points de connexion entre victimes et attaquants, rendant les méthodes de blocage traditionnelles inefficaces.
DeadLock a conservé un profil inhabituellement bas malgré sa sophistication technique, opérant sans programme d’affiliation ni site public de fuite de données.
Ce qui distingue DeadLock
Contrairement aux groupes de rançongiciels classiques qui humilient publiquement les victimes, DeadLock menace de vendre les données volées sur les marchés clandestins.
Le malware intègre du code JavaScript dans des fichiers HTML qui communiquent avec des smart contracts sur le réseau Polygon.
Ces contrats fonctionnent comme des dépôts décentralisés d’adresses de proxy, que le malware récupère via des appels blockchain en lecture seule ne générant aucuns frais de transaction.
Les chercheurs ont identifié au moins trois variantes de DeadLock, les plus récentes intégrant la messagerie chiffrée Session pour une communication directe avec les victimes.
À lire aussi : CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Pourquoi les attaques basées sur la blockchain comptent
Cette approche reflète « EtherHiding », une technique que le Threat Intelligence Group de Google a documentée en octobre 2025 après avoir observé des acteurs étatiques nord-coréens utilisant des méthodes similaires.
« Cette exploitation des smart contracts pour livrer des adresses de proxy est une méthode intéressante grâce à laquelle les attaquants peuvent littéralement appliquer une infinité de variantes de cette technique », a souligné l’analyste de Group-IB Xabier Eizaguirre.
Une infrastructure stockée sur blockchain s’avère difficile à éliminer, car les registres décentralisés ne peuvent pas être saisis ni mis hors ligne comme des serveurs traditionnels.
Les infections DeadLock renomment les fichiers avec l’extension « .dlock » et déploient des scripts PowerShell pour désactiver des services Windows et supprimer les copies fantômes.
Des attaques antérieures auraient exploité des vulnérabilités dans Baidu Antivirus et utilisé des techniques de type « bring-your-own-vulnerable-driver » pour mettre fin aux processus de détection sur les endpoints.
Group-IB reconnaît que des zones d’ombre subsistent quant aux méthodes d’accès initiales de DeadLock et à la chaîne d’attaque complète, bien que les chercheurs aient confirmé que le groupe a récemment réactivé ses opérations avec une nouvelle infrastructure de proxy.
L’adoption de cette technique à la fois par des acteurs étatiques et par des cybercriminels motivés par l’argent signale une évolution préoccupante dans la manière dont les adversaires exploitent la résilience de la blockchain à des fins malveillantes.
À lire aussi : Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline