Le rançongiciel DeadLock utilise Polygon pour son infrastructure d'attaque

Edgen Crypto

·Jan 15 2026, 22:26

Partager sur

Partager sur

Copier le lien

Points clés à retenir

Selon un rapport du 15 janvier 2026 de Group-IB, une nouvelle variante de rançongiciel, DeadLock, exploite les contrats intelligents Polygon pour créer une infrastructure d'attaque très résiliente et difficile à suivre. Cette approche novatrice pose un nouveau défi de sécurité important pour les écosystèmes décentralisés.

C2 on-chain : DeadLock stocke ses adresses de proxy de commande et de contrôle au sein d'un contrat intelligent Polygon, permettant aux attaquants de les mettre à jour dynamiquement et d'échapper au blocage traditionnel basé sur l'IP.
Opération furtive : Le logiciel malveillant récupère ces données en utilisant des appels en lecture seule et sans frais à la blockchain, qui ne créent pas de transactions on-chain et sont plus difficiles à détecter par les outils de sécurité.
Menace évolutive : Observée pour la première fois en juillet 2025, la technique de DeadLock met en évidence une tendance croissante des cybercriminels à exploiter les blockchains publiques pour construire une infrastructure résistante à la censure pour leurs opérations malveillantes.

DeadLock utilise les contrats Polygon pour se cacher depuis juillet 2025

La société de renseignement en cybersécurité Group-IB a révélé le 15 janvier 2026 qu'une famille de rançongiciels connue sous le nom de DeadLock exploite les contrats intelligents Polygon pour gérer son infrastructure d'attaque. Apparu pour la première fois en juillet 2025, le logiciel malveillant utilise la blockchain pour stocker et faire tourner les adresses de ses serveurs proxy, une méthode qui le rend très résistant aux mesures de sécurité conventionnelles telles que la mise sur liste noire des domaines et des adresses IP.

Au lieu de coder en dur les adresses de serveur, le code de DeadLock interroge un contrat intelligent Polygon spécifique pour récupérer l'URL du proxy actuel. Ce proxy facilite ensuite la communication cryptée entre la machine de la victime et l'attaquant. L'ensemble du processus repose sur des appels en lecture seule à la blockchain, qui ne génèrent pas de transactions et n'entraînent pas de frais de gaz, ce qui rend la communication difficile à surveiller via une analyse on-chain standard.

Les proxys on-chain signalent une nouvelle ère de résilience des logiciels malveillants

La technique employée par DeadLock représente une évolution significative dans la conception des logiciels malveillants, créant un système de commande et de contrôle (C2) décentralisé et résilient. En plaçant leur registre d'infrastructure sur une blockchain publique, les attaquants peuvent mettre à jour les emplacements des serveurs à la demande, ce qui rend les efforts de démantèlement plus complexes. La recherche de Group-IB a identifié plusieurs contrats intelligents liés à un seul portefeuille de créateur, confirmant la gestion active de cette infrastructure on-chain.

Bien que DeadLock soit actuellement considéré comme une menace de faible volume, son utilisation innovante des contrats intelligents sert de preuve de concept pour d'autres acteurs malveillants. Le rapport avertit que l'abus des blockchains publiques pour les opérations de logiciels malveillants est susceptible d'augmenter, forçant les défenseurs de la cybersécurité à développer de nouvelles stratégies pour détecter et atténuer les menaces qui opèrent à la fois on-chain et off-chain. Ce développement introduit une nouvelle couche de risque de sécurité pour les applications décentralisées et leurs plateformes sous-jacentes.