Selon Information Security Media Group (ISMG), le groupe ransomware DeadLock, actif depuis juillet 2025, emploie des smart contracts sur Polygon pour des fonctions de commande et contrôle et pour faciliter les échanges de rançon via la messagerie chiffrée Session.

• Vecteur et communications: DeadLock adopte EtherHiding pour intégrer des instructions malveillantes dans des smart contracts. Le groupe ne dispose pas de site de fuite et attribue à chaque victime un Session ID pour négocier via Session (E2E). Le premier binaire de ransomware connu, en C++ ciblant Windows, a été compilé en juillet 2025.

• Détails techniques côté front: La dernière version intègre un fichier HTML jouant le rôle d’interface Session. Son JavaScript interagit avec la blockchain Polygon via une fonction setProxy (avec une liste RPC de repli). Le smart contract stocke des adresses de serveurs proxy récupérables sans transaction on-chain (pas de coût). Une fonction sendProxy envoie des requêtes aux proxys (références à “swarms” et “snodes”), et sendMessage chiffre et route les messages en JSON. Les proxys pointent vers des serveurs Vesta CP, Shopware, cPanel et WordPress, certains compromis, d’autres contrôlés par l’attaquant. 🔗

• Activité on-chain et financement: Des copies multiples des smart contracts Polygon ont été créées/actualisées en août 2025, puis novembre 2025. Les opérations setProxy et la création de contrats engendrent des frais, couverts par un wallet lié à l’exchange FixedFloat, selon Group-IB.

• Sophistication opérationnelle: Cisco Talos décrit une cryptographie personnalisée (évite les API Crypto Windows) pour chiffrer efficacement des systèmes entiers en réduisant la détection. Dans un incident, l’acteur a exploité CVE-2024-51324 (produit Baidu Antivirus) via BYOVD pour tuer des processus EDR cinq jours avant le chiffrement. La veille, il a installé AnyDesk, activé RDP pour le mouvement latéral, désactivé la protection en temps réel de Windows Defender, exécuté un script PowerShell supprimant notamment les shadow copies, puis déployé le rançongiciel. Les machines affichent “Your infrastructure DeadLocked” et un ransom note incluant un Session ID; les opérateurs menacent de double extorsion (divulgation de données). 🧩

• IOCs et TTPs:

  • Plateforme: Polygon; technique EtherHiding; fonctions JS: setProxy, sendProxy, sendMessage; liste RPC de repli; récupération de proxys sans transaction on-chain.
  • Infra: Proxys sur Vesta CP, Shopware, cPanel, WordPress (compromis et/ou dédiés attaquants).
  • Outils/armes: Ransomware C++/Windows, AnyDesk, Session (E2E, Session ID), PowerShell (suppression des shadow copies).
  • Exécution/évasion: BYOVD via CVE-2024-51324 (Baidu Antivirus) pour tuer l’EDR; désactivation de Windows Defender.
  • Mouvement latéral: RDP activé et utilisé.
  • Crypto: Implémentations personnalisées (évite Windows CryptoAPI).
  • On-chain: Contrats créés/MAJ août/novembre 2025; financement via wallet lié à FixedFloat.

Type d’article: article de presse spécialisé synthétisant des recherches de Group-IB et Cisco Talos, focalisé sur les TTPs et l’usage de la blockchain par DeadLock.

🔗 Source originale : https://www.bankinfosecurity.com/deadlock-ransomware-group-utilizes-polygon-smart-contracts-a-30518