Un groupe de ransomwares exploite Polygon pour éviter les retraits

Des chercheurs en cybersécurité alertent sur un groupe de ransomwares, DeadLock, qui utilise des contrats intelligents Polygon pour dissimuler son infrastructure. Cette méthode innovante rend difficile la perturbation de leurs activités. Bien qu'il ait été observé depuis juillet 2025, le nombre de victimes reste limité.

Dans un rapport publié le 15 janvier, des experts de Group-IB mettent en lumière les techniques employées par le ransomware DeadLock, qui abuse des contrats intelligents du réseau Polygon (POL) pour cacher et faire pivoter ses adresses proxy utilisées pour communiquer avec les victimes infectées.

DeadLock cache son infrastructure grâce à Polygon

Le ransomware DeadLock, identifié pour la première fois en juillet 2025, emploie une stratégie peu conventionnelle : il stocke des adresses proxy tournantes dans des contrats intelligents accessibles au public sur Polygon. Cela lui permet d'échapper aux tentatives d'interruption classiques visant à bloquer les serveurs de commande et de contrôle traditionnellement utilisés par ces types d'attaques.

Les données sont intégrées directement dans la blockchain, ce qui permet aux attaquants d'actualiser l'adresse proxy sans nécessiter d'opérations financières ou même l'envoi de transactions par les victimes. Le ransomware ne réalise que des opérations de lecture sur la blockchain, rendant ainsi l'infrastructure plus résiliente face aux tentatives d'interruption.

Une technique décentralisée et difficile à contrer

Selon Group-IB, cette approche décentralisée constitue un défi majeur pour les efforts de cybersécurité car elle ne repose pas sur un serveur central pouvant être arrêté facilement. Les informations contractuelles restent accessibles via plusieurs nœuds dispersés mondialement, rendant toute tentative de retrait extrêmement complexe.

Après infection et chiffrement du système ciblé, DeadLock interroge spécifiquement un contrat intelligent Polygon où est stockée l'adresse du serveur proxy actuel. Dès qu'un contact est établi avec la victime, celle-ci reçoit une demande de rançon accompagnée de menaces concernant la vente éventuelle des données volées si le paiement n'est pas effectué.

Aucune faille exploitée chez Polygon

Il convient également de noter que DeadLock ne tire pas parti des vulnérabilités inhérentes au réseau Polygon ou à ses contrats intelligents associés tels que ceux utilisés dans la finance décentralisée. Au lieu cela, il exploite simplement la nature immuable et publique des données blockchain pour masquer ses configurations internes, une méthode rappelant les techniques précédemment connues sous le nom « EtherHiding ».

Group-IB a observé que plusieurs contrats liés à cette campagne ont été déployés ou mis à jour entre août et novembre 2025. Bien que l'activité semble encore limitée actuellement, ils soulignent que ce concept pourrait être réutilisé sous diverses formes par d'autres groupes malveillants à l'avenir.

Un avertissement pour la communauté Blockchain

Bien que ni les utilisateurs ni les développeurs du réseau Polygon ne soient directement menacés par cette campagne actuelle, elle illustre parfaitement comment les blockchains publiques peuvent être détournées pour soutenir des activités criminelles tout en restant discrètes et difficiles à détecter. Les chercheurs insistent donc sur l'importance d'une vigilance accrue face aux nouvelles techniques émergentes dans le domaine du ransomware.