DeadLock Ransomware utilise du code pour contourner les méthodes traditionnelles de suppression via la blockchain Polygon

Les chercheurs en sécurité ont découvert une technique innovante et préoccupante dans laquelle une opération de ransomware exploite des contrats intelligents Polygon pour maintenir une infrastructure de commandement et de contrôle persistante, échappant ainsi efficacement aux efforts classiques de suppression. Cette approche basée sur le code représente un changement significatif dans la manière dont les cybercriminels peuvent weaponiser la technologie blockchain à des fins criminelles.

Group-IB, une société de recherche en cybersécurité de premier plan, a publié le 15 janvier des résultats détaillant comment la variante de ransomware DeadLock — observée pour la première fois à la mi-2025 — utilise cette méthode novatrice. Contrairement aux opérations de ransomware traditionnelles qui dépendent de serveurs centralisés vulnérables aux disruptions, cette menace utilise des contrats intelligents accessibles publiquement pour stocker et gérer des adresses de proxy rotatives, créant une architecture distribuée qui s’avère extrêmement difficile à désactiver.

Comment le code du ransomware échappe à la détection via la blockchain

L’approche technique est trompeusement simple mais très efficace. Une fois que DeadLock infiltre le système d’une victime et exécute sa charge utile de chiffrement, le malware contient un code intégré programmé pour interroger régulièrement un contrat intelligent Polygon spécifique. Ce contrat fonctionne comme un stockage de configuration dynamique, contenant les adresses actuelles des serveurs proxy facilitant la communication entre les attaquants et les systèmes compromis.

L’élégance de cette architecture réside dans sa nature décentralisée. Les attaquants peuvent mettre à jour les adresses proxy dans le contrat intelligent à tout moment, leur permettant de faire tourner leur infrastructure en continu sans nécessiter une redéploiement du malware sur chaque machine victime. Critiquement, le ransomware ne réalise que des opérations de lecture sur la blockchain — les victimes ne génèrent aucune transaction et n’encourent aucun frais de gaz. Cette caractéristique en lecture seule garantit que l’opération reste furtive et économiquement efficace.

Le mécanisme de rotation des proxies crée essentiellement une colonne vertébrale de communication résiliente et auto-mise à jour que les procédures classiques de suppression par les forces de l’ordre ne peuvent pas facilement couper. Chaque changement de proxy est enregistré sur la chaîne, de façon immuable, mais immédiatement opérationnel, laissant les défenseurs constamment à la poursuite de cibles en mouvement.

Pourquoi cette stratégie de code échappe-t-elle à la défense conventionnelle ?

Le modèle de menace diffère fondamentalement de l’infrastructure de ransomware traditionnelle. Les serveurs de commandement et de contrôle classiques, bien que vulnérables à la disruption et à la saisie, opèrent depuis des emplacements identifiables. Les forces de l’ordre peuvent suivre, identifier et fermer ces ressources centralisées. L’architecture blockchain distribuée de Polygon élimine totalement ce point de vulnérabilité.

Étant donné que les données des contrats intelligents sont répliquées sur des milliers de nœuds répartis dans le monde entier, il n’existe aucun point de défaillance unique. Désactiver une seule adresse proxy s’avère futile lorsque le malware récupère automatiquement des adresses mises à jour depuis un contrat intelligent immuable. L’infrastructure atteint une résilience sans précédent grâce à la décentralisation — une qualité qui rend les procédures classiques de suppression largement inefficaces.

L’analyse de Group-IB a identifié plusieurs contrats intelligents liés à cette campagne qui ont été déployés ou mis à jour entre la fin 2025 et le début 2026, confirmant une activité opérationnelle en cours. La société estime que le nombre de victimes est actuellement limité, sans connexions confirmées avec des réseaux d’affiliés de ransomware établis ou des plateformes de fuite de données publiques.

Distinction cruciale : mauvaise utilisation du code versus vulnérabilité du protocole

Les chercheurs ont souligné une clarification essentielle : DeadLock n’exploite pas de faiblesses inhérentes à Polygon, ni ne compromet des contrats intelligents tiers exploités par des protocoles DeFi, des portefeuilles crypto ou des ponts (bridges). L’opération ne découvre ni n’exploite aucune vulnérabilité zero-day ou faille du protocole.

Au contraire, l’acteur malveillant exploite ce qui est fondamentalement une caractéristique des blockchains publiques — la transparence, l’immuabilité et la lisibilité publique des données on-chain. Cette technique présente une similitude conceptuelle avec d’anciennes attaques “EtherHiding” qui exploitaient également les caractéristiques inhérentes à la blockchain plutôt que des défaillances technologiques.

Cette distinction est particulièrement importante pour l’écosystème dans son ensemble. Les utilisateurs de Polygon ne courent aucun risque technique direct lié à une compromission du protocole. La blockchain fonctionne exactement comme prévu. Cependant, cette affaire démontre comment des registres publics peuvent être réutilisés pour soutenir une infrastructure criminelle de manière à contourner les mesures de sécurité traditionnelles.

Implications pour l’évolution du paysage des menaces

Bien que les opérations DeadLock actuelles restent relativement limitées, les experts en cybersécurité avertissent que cette méthodologie possède un potentiel de reproduction important. La technique est peu coûteuse à mettre en œuvre, ne nécessite pas d’infrastructure spécialisée, et est difficile à bloquer ou à contrer de manière systématique. Si des groupes de ransomware plus établis ou des organisations criminelles adoptent des approches similaires, les implications en matière de sécurité pourraient s’intensifier considérablement.

La stratégie basée sur le code démocratise en quelque sorte une infrastructure de commandement et de contrôle résiliente, rendant accessibles des techniques d’évasion puissantes même pour des acteurs malveillants disposant de ressources modestes. À mesure que la technologie blockchain se répand sur plusieurs réseaux et que les solutions Layer 2 se développent, les opportunités d’usage abusif similaires devraient augmenter.

La divulgation de Group-IB sert d’indicateur d’alerte précoce : la convergence entre la sophistication du ransomware et l’utilité de la blockchain crée de nouveaux vecteurs d’attaque nécessitant une réflexion défensive renouvelée et une surveillance proactive. Ce cas souligne que la transparence des blockchains publiques, tout en étant bénéfique pour des applications légitimes, permet également aux acteurs malveillants de développer des stratégies créatives pour échapper aux mesures de défense basées sur le code et l’infrastructure.