Un groupe de ransomware utilise des contrats intelligents Polygon pour échapper aux suppressions

Les chercheurs en sécurité affirment qu’un groupe de ransomware peu visible utilise des contrats intelligents Polygon pour dissimuler et faire tourner son infrastructure de commandement et de contrôle.
Résumé

• Le ransomware DeadLock, observé pour la première fois en juillet 2025, stocke des adresses proxy tournantes à l’intérieur de contrats intelligents Polygon pour échapper aux opérations de suppression.
• La technique repose uniquement sur la lecture de données en chaîne et n’exploite pas de vulnérabilités dans Polygon ou d’autres contrats intelligents.
• Les chercheurs avertissent que cette méthode est peu coûteuse, décentralisée et difficile à bloquer, même si la campagne a jusqu’à présent un nombre limité de victimes confirmées.

Les chercheurs en cybersécurité mettent en garde contre le fait qu’une souche de ransomware récemment identifiée utilise de manière inhabituelle les contrats intelligents Polygon, ce qui pourrait rendre son infrastructure plus difficile à perturber.

Dans un rapport publié le 15 janvier, les chercheurs de la société de cybersécurité Group-IB ont indiqué que le ransomware, connu sous le nom de DeadLock, abuse de contrats intelligents lisibles publiquement sur le réseau Polygon (POL) pour stocker et faire tourner des adresses de serveurs proxy utilisées pour communiquer avec les victimes infectées.

DeadLock a été observé pour la première fois en juillet 2025 et est resté relativement discret depuis. Group-IB a déclaré que l’opération compte un nombre limité de victimes confirmées et n’est liée à aucun programme d’affiliation de ransomware ou site de fuite de données public.

Malgré sa faible visibilité, la société a averti que les techniques utilisées sont très inventives et pourraient poser de graves risques si elles étaient reprises par des groupes plus établis.

Comment la technique fonctionne

Au lieu de s’appuyer sur des serveurs de commandement et de contrôle traditionnels, qui peuvent souvent être bloqués ou mis hors ligne, DeadLock intègre un code qui interroge un contrat intelligent Polygon spécifique après qu’un système a été infecté et chiffré. Ce contrat stocke l’adresse proxy actuelle utilisée pour relayer la communication entre les attaquants et la victime.

Étant donné que les données sont stockées en chaîne, les attaquants peuvent mettre à jour l’adresse proxy à tout moment, leur permettant de faire tourner rapidement l’infrastructure sans redéployer de malware. Les victimes n’ont pas besoin d’envoyer des transactions ni de payer des frais de gaz, car le ransomware ne réalise que des opérations de lecture sur la blockchain.

Une fois le contact établi, les victimes reçoivent des demandes de rançon accompagnées de menaces selon lesquelles les données volées seront vendues si le paiement n’est pas effectué. Group-IB a noté que cette approche rend l’infrastructure du ransomware beaucoup plus résiliente.

Il n’y a pas de serveur central à fermer, et les données du contrat restent accessibles sur des nœuds distribués dans le monde entier, rendant les opérations de suppression beaucoup plus difficiles.

Aucune vulnérabilité de Polygon impliquée

Les chercheurs ont souligné que DeadLock n’exploite pas de failles dans Polygon lui-même ni dans des contrats intelligents tiers tels que des protocoles de finance décentralisée, des portefeuilles ou des ponts. Le ransomware abuse simplement de la nature publique et immuable des données blockchain pour dissimuler des informations de configuration, une méthode similaire aux techniques « EtherHiding » antérieures.

Plusieurs contrats intelligents liés à la campagne ont été déployés ou mis à jour entre août et novembre 2025, selon l’analyse de Group-IB. Bien que l’activité reste limitée pour l’instant, la société a averti que le concept pourrait être réutilisé dans d’innombrables variations par d’autres acteurs malveillants.

Alors que les utilisateurs et développeurs de Polygon ne sont pas directement en danger à cause de cette campagne, les chercheurs soulignent que cette affaire met en lumière comment les blockchains publiques peuvent être détournées pour soutenir des activités criminelles hors chaîne, de manière difficile à détecter et à démanteler.