새롭게 발견된 랜섬웨어 계열이 블록체인 기술을 무기화해, 보안팀이 쉽게 제거하지 못하는 탄력적인 명령·제어(C2) 인프라를 구축하고 있다.
Group-IB 사이버 보안 연구원들은 2025년 7월 처음 식별된 DeadLock 랜섬웨어가 Polygon 스마트 컨트랙트 안에 프록시 서버 주소를 저장하고 있다고 공개했다.
이 기법을 통해 운영자는 피해자와 공격자 간 연결 지점을 지속적으로 교체할 수 있어, 전통적인 차단 방식이 사실상 무력화된다.
DeadLock은 높은 기술적 정교함에도 불구하고, 제휴 프로그램이나 공개 데이터 유출 사이트 없이 조용히 활동을 이어가며 이례적으로 낮은 프로파일을 유지하고 있다.
DeadLock의 차별점
일반적인 랜섬웨어 조직이 피해자를 공개적으로 망신 주는 방식과 달리, DeadLock은 탈취한 데이터를 지하 시장에서 판매하겠다고 협박한다.
악성코드는 HTML 파일 안에 JavaScript 코드를 삽입해 Polygon 네트워크의 스마트 컨트랙트와 통신한다.
이 스마트 컨트랙트들은 프록시 주소를 저장하는 분산 저장소 역할을 하며, 악성코드는 트랜잭션 수수료가 발생하지 않는 읽기 전용 블록체인 호출을 통해 이 주소들을 조회한다.
연구진은 최소 세 가지 DeadLock 변종을 확인했으며, 최신 버전은 피해자와 직접 소통하기 위해 Session 암호 메시징을 통합하고 있다.
Read also: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
블록체인 기반 공격이 중요한 이유
이 접근법은 Google 위협 인텔리전스 그룹이 2025년 10월, 북한 연루 행위자들이 유사한 방식을 사용하는 것을 관찰한 뒤 문서화한 "EtherHiding" 기법을 그대로 반영한다.
Group-IB 분석가 Xabier Eizaguirre는 "프록시 주소 전달을 위해 스마트 컨트랙트를 악용하는 것은 공격자가 이 기법을 사실상 무한히 변형해 적용할 수 있는 흥미로운 방법"이라고 평가했다.
블록체인에 저장된 인프라는 전통적인 서버처럼 압수하거나 오프라인으로 전환할 수 없기 때문에 제거가 매우 어렵다.
DeadLock에 감염된 파일은 확장자가 ".dlock"으로 변경되며, PowerShell 스크립트를 통해 윈도우 서비스를 비활성화하고 섀도 복사본을 삭제한다.
이전 공격에서는 바이두 안티바이러스의 취약점을 악용하고, 취약한 드라이버 지참(BYOVD) 기법을 사용해 엔드포인트 탐지 프로세스를 종료한 것으로 보고됐다.
Group-IB는 DeadLock의 초기 침투 경로와 전체 공격 체인에 대해 여전히 이해의 공백이 남아 있다고 인정하면서도, 최근 이 그룹이 새로운 프록시 인프라와 함께 작전을 재개한 사실을 확인했다.
이러한 기법이 국가 차원의 행위자와 금전적 이득을 노리는 사이버 범죄자 모두에게 채택되고 있다는 점은, 공격자들이 블록체인의 내구성을 악의적으로 활용하는 방식이 우려스러운 방향으로 진화하고 있음을 보여준다.
Read also: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline