DeadLock Ransomware Utiliza Contratos Inteligentes de Polygon para Evadir la Detección

En resumen

• La firma de ciberseguridad Group-IB ha advertido que la familia de ransomware DeadLock está utilizando contratos inteligentes de Polygon para distribuir y rotar direcciones de servidores proxy, ayudándola a evadir la detección.
• El ransomware ha permanecido bajo el radar debido a la escasa cantidad de víctimas, la ausencia de un programa de afiliados y un sitio público de filtración de datos.
• La técnica se asemeja a las divulgaciones de Google del año pasado sobre “EtherHiding,” que abusa de contratos inteligentes de Ethereum para ocultar malware.

Una nueva cepa de ransomware descubierta recientemente está utilizando contratos inteligentes de Polygon para rotar y distribuir direcciones de servidores proxy con el fin de infiltrarse en dispositivos, advirtió la firma de ciberseguridad Group‑IB el jueves. El malware, denominado DeadLock, fue identificado por primera vez en julio de 2025 y hasta ahora ha atraído poca atención porque carece de un programa de afiliados público y de un sitio de filtración de datos, además de haber infectado solo a un número limitado de víctimas, según la compañía.

🚨 Ransomware DeadLock: Cuando Blockchain se Encuentra con el Cibercrimen

Group-IB ha descubierto una amenaza sofisticada que reescribe el manual del ransomware. DeadLock aprovecha contratos inteligentes de Polygon para rotar direcciones proxy, una técnica discreta y poco reportada que evade las… pic.twitter.com/rlPu9gZd5F

— Group-IB Global (@GroupIB) 15 de enero de 2026

“Aunque tiene un perfil bajo y un impacto aún reducido, aplica métodos innovadores que muestran un conjunto de habilidades en evolución que podría volverse peligrosa si las organizaciones no toman en serio esta amenaza emergente,” dijo Group-IB en un blog. El uso de contratos inteligentes por parte de DeadLock para entregar direcciones proxy es “un método interesante donde los atacantes pueden aplicar literalmente variantes infinitas de esta técnica; la imaginación es el límite,” señaló la firma. Group-IB hizo referencia a un informe reciente del Grupo de Inteligencia de Amenazas de Google que destaca el uso de una técnica similar llamada “EtherHiding” empleada por hackers norcoreanos. ¿Qué es EtherHiding? EtherHiding es una campaña divulgada el año pasado en la que hackers de DPRK utilizaron la blockchain de Ethereum para ocultar y entregar software malicioso. Las víctimas suelen ser atraídas mediante sitios web comprometidos—a menudo páginas de WordPress—que cargan un pequeño fragmento de JavaScript. Ese código luego extrae la carga útil oculta desde la blockchain, permitiendo a los atacantes distribuir malware de manera altamente resistente a las desactivaciones. Tanto EtherHiding como DeadLock reutilizan registros públicos y descentralizados como canales encubiertos que son difíciles de bloquear o desmantelar para los defensores. DeadLock aprovecha proxies rotativos, que son servidores que cambian regularmente la IP de un usuario, dificultando su rastreo o bloqueo. Aunque Group‑IB admitió que “los vectores de acceso inicial y otras etapas importantes de los ataques siguen siendo desconocidos en este momento,” afirmó que las infecciones de DeadLock renombran archivos cifrados con una extensión “.dlock” y reemplazan los fondos de pantalla del escritorio con notas de rescate.

Las versiones más recientes también advierten a las víctimas que datos sensibles han sido robados y podrían venderse o filtrarse si no se paga un rescate. Hasta ahora, se han identificado al menos tres variantes del malware. Las versiones anteriores dependían de servidores supuestamente comprometidos, pero los investigadores ahora creen que el grupo opera su propia infraestructura. La innovación clave, sin embargo, radica en cómo DeadLock recupera y gestiona las direcciones de los servidores.  “Los investigadores de Group-IB descubrieron código JS dentro del archivo HTML que interactúa con un contrato inteligente en la red Polygon,” explicó. “Esta lista RPC contiene los puntos finales disponibles para interactuar con la red o blockchain de Polygon, actuando como puertas de enlace que conectan las aplicaciones con los nodos existentes de la blockchain.” Su versión más reciente también incorpora canales de comunicación entre la víctima y el atacante. DeadLock deja un archivo HTML que actúa como envoltorio alrededor de la aplicación de mensajería cifrada Session. “El propósito principal del archivo HTML es facilitar la comunicación directa entre el operador de DeadLock y la víctima,” dijo Group‑IB.