مجموعة برامج الفدية تستخدم Polygon للتهرب من الإيقاف

يقول باحثو الأمن السيبراني إن مجموعة برامج الفدية ذات الملف الشخصي المنخفض تستخدم عقود ذكية على Polygon لإخفاء وتدوير بنيتها التحتية للتحكم والأوامر.

ملخص

• تم رصد برنامج الفدية DeadLock لأول مرة في يوليو 2025، ويخزن عناوين بروكسي متغيرة داخل العقود الذكية على Polygon لتجنب الإيقاف.
• تعتمد التقنية فقط على قراءة البيانات على السلسلة ولا تستغل الثغرات في Polygon أو العقود الذكية الأخرى.
• يحذر الباحثون من أن الطريقة رخيصة ولامركزية وصعبة الحظر، على الرغم من أن الحملة لديها ضحايا مؤكدين محدودين حتى الآن.

يحذر باحثو الأمن السيبراني من أن سلالة برامج الفدية التي تم تحديدها مؤخرًا تستخدم عقودًا ذكية على Polygon بطريقة غير معتادة قد تجعل بنيتها التحتية أصعب تعطيلها.

في تقرير نُشر في 15 يناير، قال باحثو شركة Group-IB إن برنامج الفدية، المعروف باسم DeadLock، يسيء استخدام العقود الذكية القابلة للقراءة علنًا على شبكة Polygon (POL) لتخزين وتدوير عناوين خوادم البروكسي المستخدمة للتواصل مع الضحايا المصابين.

تم رصد DeadLock لأول مرة في يوليو 2025 وظل منخفض الملف الشخصي منذ ذلك الحين. قالت شركة Group-IB إن العملية لديها عدد محدود من الضحايا المؤكدين ولا ترتبط بأي برامج تابع لبرامج الفدية المعروفة أو مواقع تسريب البيانات العامة.

على الرغم من انخفاض ظهورها، حذرت الشركة من أن التقنيات المستخدمة مبتكرة للغاية وقد تشكل مخاطر خطيرة إذا قام مجموعات أكثر رسوخًا بنسخها.

كيف تعمل التقنية

بدلاً من الاعتماد على خوادم الأوامر والتحكم التقليدية، والتي يمكن حظرها أو إيقافها غالبًا، يدمج DeadLock رمزًا يستعلم عن عقدة ذكية معينة على Polygon بعد إصابة النظام وتشفيره. تخزن تلك العقدة عنوان البروكسي الحالي المستخدم لنقل الاتصالات بين المهاجمين والضحية.

نظرًا لأن البيانات مخزنة على السلسلة، يمكن للمهاجمين تحديث عنوان البروكسي في أي وقت، مما يسمح لهم بتدوير البنية التحتية بسرعة دون إعادة نشر البرمجيات الخبيثة. لا يحتاج الضحايا إلى إرسال معاملات أو دفع رسوم غاز، حيث يقوم برنامج الفدية فقط بعمليات قراءة على blockchain.

بمجرد إقامة الاتصال، يتلقى الضحايا مطالبات فدية مع تهديدات بأن البيانات المسروقة ستُباع إذا لم يتم الدفع. وأشارت Group-IB إلى أن هذا النهج يجعل بنية برامج الفدية أكثر مرونة بكثير.

لا يوجد خادم مركزي لإيقافه، وتظل بيانات العقد متاحة عبر عقد موزعة في جميع أنحاء العالم، مما يجعل الإيقاف أكثر صعوبة بشكل كبير.

لا ثغرة في Polygon متورطة

أكد الباحثون أن DeadLock لا يستغل ثغرات في Polygon نفسه أو في العقود الذكية من طرف ثالث مثل بروتوكولات التمويل اللامركزية أو المحافظ أو الجسور. ببساطة، يستخدم برنامج الفدية الطبيعة العامة والثابتة لبيانات blockchain لإخفاء معلومات التكوين، وهي طريقة مماثلة لتقنيات “EtherHiding” السابقة.

تم نشر أو تحديث عدة عقود ذكية مرتبطة بالحملة بين أغسطس ونوفمبر 2025، وفقًا لتحليل Group-IB. على الرغم من أن النشاط لا يزال محدودًا حتى الآن، حذرت الشركة من أن المفهوم يمكن أن يُعاد استخدامه في العديد من التنويعات من قبل جهات تهديد أخرى.

بينما لا يواجه مستخدمو ومطورو Polygon خطرًا مباشرًا من الحملة، يقول الباحثون إن الحالة تبرز كيف يمكن أن يُساء استخدام blockchain العامة لدعم أنشطة إجرامية خارج السلسلة بطرق يصعب اكتشافها وتفكيكها.