Le groupe de ransomware utilise Polygon pour échapper aux suppressions

Les chercheurs en cybersécurité avertissent qu’un groupe de ransomware peu visible utilise des contrats intelligents Polygon de manière inhabituelle, ce qui pourrait rendre son infrastructure plus difficile à perturber.

Résumé

• Le ransomware DeadLock, observé pour la première fois en juillet 2025, stocke des adresses proxy tournantes à l’intérieur de contrats intelligents Polygon pour échapper aux suppressions.
• La technique repose uniquement sur la lecture de données en chaîne et n’exploite pas de vulnérabilités de Polygon ou d’autres contrats intelligents.
• Les chercheurs mettent en garde contre le fait que cette méthode est peu coûteuse, décentralisée et difficile à bloquer, même si la campagne a jusqu’à présent un nombre limité de victimes confirmées.

Les chercheurs en cybersécurité avertissent qu’un nouveau type de ransomware utilise de manière inhabituelle les contrats intelligents Polygon, ce qui pourrait compliquer la perturbation de son infrastructure.

Dans un rapport publié le 15 janvier, les chercheurs de la société de cybersécurité Group-IB ont indiqué que le ransomware, connu sous le nom de DeadLock, abuse de contrats intelligents lisibles publiquement sur le réseau Polygon (POL) pour stocker et faire tourner des adresses de serveurs proxy utilisées pour communiquer avec les victimes infectées.

DeadLock a été observé pour la première fois en juillet 2025 et est resté relativement discret depuis. Group-IB a indiqué que l’opération compte un nombre limité de victimes confirmées et n’est liée à aucun programme d’affiliation de ransomware ou site de fuite de données publiques.

Malgré sa faible visibilité, la société a averti que les techniques utilisées sont très inventives et pourraient poser de graves risques si elles étaient reprises par des groupes plus établis.

Comment fonctionne la technique

Au lieu de s’appuyer sur des serveurs de commande et de contrôle traditionnels, qui peuvent souvent être bloqués ou mis hors ligne, DeadLock intègre un code qui interroge un contrat intelligent Polygon spécifique après qu’un système a été infecté et chiffré. Ce contrat stocke l’adresse proxy actuelle utilisée pour relayer la communication entre les attaquants et la victime.

Étant donné que les données sont stockées en chaîne, les attaquants peuvent mettre à jour l’adresse proxy à tout moment, leur permettant de faire tourner rapidement leur infrastructure sans redéployer de malware. Les victimes n’ont pas besoin d’envoyer des transactions ni de payer des frais de gaz, car le ransomware ne réalise que des opérations de lecture sur la blockchain.

Une fois le contact établi, les victimes reçoivent des demandes de rançon accompagnées de menaces selon lesquelles les données volées seront vendues si le paiement n’est pas effectué. Group-IB a noté que cette approche rend l’infrastructure du ransomware beaucoup plus résiliente.

Il n’y a pas de serveur central à arrêter, et les données du contrat restent accessibles sur des nœuds distribués dans le monde entier, rendant les suppressions beaucoup plus difficiles.

Aucune vulnérabilité de Polygon impliquée

Les chercheurs ont souligné que DeadLock n’exploite pas de failles de Polygon lui-même ni de contrats intelligents tiers tels que des protocoles de finance décentralisée, des portefeuilles ou des ponts. Le ransomware abuse simplement de la nature publique et immuable des données blockchain pour cacher des informations de configuration, une méthode similaire aux techniques “EtherHiding” antérieures.

Selon l’analyse de Group-IB, plusieurs contrats intelligents liés à la campagne ont été déployés ou mis à jour entre août et novembre 2025. Bien que l’activité reste limitée pour l’instant, la société a averti que le concept pourrait être réutilisé dans d’innombrables variations par d’autres acteurs malveillants.

Bien que les utilisateurs et développeurs de Polygon ne soient pas directement en danger à cause de cette campagne, les chercheurs soulignent que cette affaire met en évidence comment les blockchains publiques peuvent être détournées pour soutenir des activités criminelles hors chaîne, de manière difficile à détecter et à démanteler.