**DeadLock Ransomware exploite la blockchain Polygon pour échapper aux codes et aux systèmes de détection**

Les chercheurs en sécurité ont identifié une souche sophistiquée de ransomware connue sous le nom de DeadLock, qui utilise stratégiquement l'écosystème de la blockchain Polygon pour distribuer une infrastructure proxy malveillante et échapper aux mécanismes de détection avec une sophistication croissante. Documentée pour la première fois en juillet 2025, cette menace représente un changement significatif dans la manière dont les cybercriminels exploitent les réseaux décentralisés pour la sécurité opérationnelle.

**Comment DeadLock exploite l'infrastructure blockchain**

La technique principale du malware consiste à injecter des charges utiles JavaScript directement dans des fichiers HTML, qui communiquent ensuite avec le réseau Polygon via des points de terminaison RPC (RPC) servant de canaux de commande et de contrôle. Plutôt que de s'appuyer sur des serveurs centralisés traditionnels — facilement surveillés et bloqués — les opérateurs de DeadLock ont conçu un système où les adresses des serveurs proxy sont continuellement renouvelées via des contrats intelligents sur la blockchain. Cela permet aux attaquants d’échapper aux codes utilisés par les systèmes de sécurité tout en conservant un accès persistant aux machines compromises.

Le mécanisme de passerelle RPC transforme essentiellement la blockchain en un tableau d’affichage de notifications décentralisé, permettant aux opérateurs de distribuer de nouvelles adresses proxy aux systèmes infectés sans s’exposer à une surveillance réseau conventionnelle.

**Évolution et variantes techniques**

Les chercheurs ont documenté au moins trois variantes distinctes de DeadLock en circulation active. La portée opérationnelle du malware s’est considérablement étendue avec la dernière version, qui intègre désormais la plateforme de communication chiffrée Session directement dans sa charge utile. Cette intégration permet des canaux de communication directs et cryptés entre les attaquants et les victimes, compliquant considérablement la détection et la réponse aux incidents.

La parallèle avec EtherHiding — une menace précédemment identifiée utilisant des techniques d’évasion similaires basées sur la blockchain — suggère que cette approche devient une méthodologie privilégiée dans le milieu criminel. En ancrant leur infrastructure dans des registres décentralisés, les acteurs malveillants créent des schémas de communication intrinsèquement résistants aux méthodes traditionnelles de blocage et de filtrage.

**Implications pour l’infrastructure de sécurité**

La combinaison de la fonctionnalité de contrats intelligents de Polygon avec des protocoles de communication chiffrés représente un problème de sécurité particulièrement difficile. Les organisations qui s’appuient sur une analyse du trafic conventionnelle et le blocage basé sur l’IP rencontrent des limitations importantes lorsque des adversaires exploitent la nature immuable et distribuée des réseaux blockchain pour orchestrer leurs opérations.