TL;DR
El ransomware DeadLock utiliza contratos inteligentes de Polygon para ocultar las direcciones de los servidores proxy.
La técnica imita ataques anteriores basados en Ethereum utilizados por hackers norteamericanos.
El malware cambia las direcciones IP con regularidad para evitar la detección por parte de los sistemas de seguridad.
Una empresa de ciberseguridad identificó un nuevo método de ransomware que utiliza tecnología blockchain. Group-IB informó sobre este hallazgo el jueves. El malware, llamado DeadLock, utiliza contratos inteligentes de Polygon para distribuir las direcciones de los servidores proxy. Esta técnica ayuda al ransomware a evadir la detección por parte de los sistemas de seguridad.
DeadLock apareció por primera vez en julio de 2025. Permaneció bajo el radar debido a un bajo número de víctimas. El malware carece de un programa público para afiliados y no opera un sitio de filtración de datos público. Group-IB declaró que el ransomware aplica métodos innovadores que muestran un conjunto de habilidades en evolución.
DeadLock Ransomware: Cuando Blockchain se Encuentra con el Cibercrimen
Group-IB ha descubierto una nueva amenaza sofisticada que reescribe el manual del ransomware. DeadLock aprovecha los contratos inteligentes de Polygon para rotar direcciones proxy, una técnica sigilosa y poco reportada que elude la… pic.twitter.com/rlPu9gZd5F
— Group-IB Global (@GroupIB) 15 de enero de 2026
El método refleja una campaña previa divulgada por Google
Esa técnica, llamada EtherHiding, utilizó contratos inteligentes de Ethereum para ocultar malware. Los hackers norcoreanos emplearon EtherHiding el año pasado. Ambos métodos reutilizan blockchains públicas como canales encubiertos que son difíciles de bloquear o desmantelar.
DeadLock utiliza contratos inteligentes para entregar una lista de direcciones proxy. Estos proxies son servidores que cambian la dirección IP de un usuario regularmente. Los investigadores de Group-IB encontraron código JavaScript dentro de un archivo HTML que interactúa con un contrato inteligente en la red de Polygon.
El ransomware recupera una lista RPC del contrato
Esta lista contiene puntos finales para interactuar con la blockchain de Polygon. Estos puntos finales actúan como puertas de enlace que conectan aplicaciones a los nodos de la red. El uso de contratos inteligentes permite variaciones infinitas de la técnica.
DeadLock renombra archivos encriptados con una extensión .dlock. También reemplaza el fondo del escritorio con una nota de rescate. Las versiones más nuevas advierten a las víctimas que se han robado datos sensibles. El malware amenaza con vender o filtrar los datos si no se paga el rescate. Los investigadores han identificado al menos tres variantes de DeadLock hasta ahora.
Las versiones anteriores dependían de servidores potencialmente comprometidos. Los investigadores ahora creen que el grupo opera su propia infraestructura. El cambio clave implica cómo DeadLock recupera y gestiona sus direcciones de servidor a través de la blockchain.
La versión más reciente incorpora canales de comunicación directos. Deja caer un archivo HTML que actúa como un envoltorio alrededor de la aplicación de mensajería encriptada Session. El propósito principal de este archivo es facilitar charlas directas entre el atacante y la víctima. Los vectores de acceso inicial del ransomware y otras etapas de ataque siguen siendo desconocidos actualmente.
Group-IB aconsejó a las organizaciones que tomen la amenaza en serio. La firma señaló que, aunque el impacto es actualmente bajo, los métodos en evolución podrían volverse más peligrosos. El uso de la tecnología blockchain presenta un desafío persistente para las defensas tradicionales de ciberseguridad.
