El ransomware DeadLock aprovecha Polygon para su infraestructura de ataque

Edgen Crypto

·Jan 15 2026, 22:26

Compartir a

Compartir a

Copiar enlace

Puntos clave

Según un informe del 15 de enero de 2026 de Group-IB, una nueva variante de ransomware, DeadLock, aprovecha los contratos inteligentes de Polygon para crear una infraestructura de ataque altamente resistente y difícil de rastrear. Este enfoque novedoso plantea un nuevo y significativo desafío de seguridad para los ecosistemas descentralizados.

C2 en cadena: DeadLock almacena las direcciones de su proxy de comando y control dentro de un contrato inteligente de Polygon, lo que permite a los atacantes actualizarlas dinámicamente y evadir el bloqueo tradicional basado en IP.
Operación sigilosa: El malware recupera estos datos utilizando llamadas de solo lectura y sin tarifas a la cadena de bloques, que no crean transacciones en cadena y son más difíciles de detectar para las herramientas de seguridad.
Amenaza en evolución: Observada por primera vez en julio de 2025, la técnica de DeadLock destaca una tendencia creciente de ciberdelincuentes que explotan las cadenas de bloques públicas para construir infraestructura resistente a la censura para operaciones maliciosas.

DeadLock utiliza contratos Polygon para ocultarse desde julio de 2025

La firma de inteligencia en ciberseguridad Group-IB reveló el 15 de enero de 2026 que una familia de ransomware conocida como DeadLock está explotando los contratos inteligentes de Polygon para gestionar su infraestructura de ataque. Apareciendo por primera vez en julio de 2025, el malware utiliza la cadena de bloques para almacenar y rotar las direcciones de sus servidores proxy, un método que lo hace altamente resistente a las medidas de seguridad convencionales como las listas negras de dominios y direcciones IP.

En lugar de codificar las direcciones de los servidores, el código de DeadLock consulta un contrato inteligente de Polygon específico para obtener la URL del proxy actual. Este proxy luego facilita la comunicación cifrada entre la máquina de la víctima y el atacante. Todo el proceso se basa en llamadas de solo lectura a la cadena de bloques, que no generan transacciones ni incurren en tarifas de gas, lo que dificulta la supervisión de la comunicación a través del análisis estándar en cadena.

Los proxies en cadena señalan una nueva era de resiliencia del malware

La técnica empleada por DeadLock representa una evolución significativa en el diseño de malware, creando un sistema de comando y control (C2) descentralizado y resistente. Al colocar su registro de infraestructura en una cadena de bloques pública, los atacantes pueden actualizar las ubicaciones de los servidores bajo demanda, lo que hace que los esfuerzos de desmantelamiento sean más complejos. La investigación de Group-IB identificó múltiples contratos inteligentes vinculados a una única billetera de creador, confirmando la gestión activa de esta infraestructura en cadena.

Aunque DeadLock se considera actualmente una amenaza de bajo volumen, su uso innovador de contratos inteligentes sirve como prueba de concepto para otros actores maliciosos. El informe advierte que el abuso de las cadenas de bloques públicas para operaciones de malware es probable que aumente, lo que obligará a los defensores de la ciberseguridad a desarrollar nuevas estrategias para detectar y mitigar las amenazas que operan tanto en cadena como fuera de ella. Este desarrollo introduce una nueva capa de riesgo de seguridad para las aplicaciones descentralizadas y sus plataformas subyacentes.