Ransomware DeadLock Menggunakan Polygon Blockchain untuk Memutar Server Proxy

• Group-IB menerbitkan laporannya pada 15 Januari dan mengatakan metode tersebut bisa membuat pengacauan lebih sulit bagi para penjaga.
• Perangkat lunak jahat ini membaca data on-chain, sehingga korban tidak perlu membayar biaya gas.
• Para peneliti mengatakan Polygon tidak rentan, tetapi taktik tersebut bisa menyebar.

Kelompok perangkat lunak tebusan biasanya bergantung pada server command-and-control untuk mengelola komunikasi setelah masuk ke dalam sistem.

Tapi peneliti keamanan sekarang mengatakan bahwa strain yang rendah perhatiannya menggunakan infrastruktur blockchain dengan cara yang mungkin lebih sulit untuk diblokir.

Dalam sebuah laporan dipublikasikan pada 15 Jan., perusahaan keamanan siber Group-IB mengatakan operasi ransomware yang dikenal sebagai DeadLock sedang menyalahgunakan kontrak cerdas Polygon (POL) untuk menyimpan dan memutar alamat server proxy.

Server proxy ini digunakan untuk meneruskan komunikasi antara penyerang dan korban setelah sistem terinfeksi.

Karena informasi berada di rantai dan dapat diperbarui kapan saja, para peneliti memperingatkan bahwa pendekatan ini dapat membuat backend kelompok tersebut lebih tangguh dan lebih sulit dihancurkan.

Group-IB mengatakan DeadLock tidak bergantung pada pengaturan biasa server perintah dan pengendalian tetap.

Sebaliknya, setelah mesin diretas dan dienkripsi, perangkat lunak tebusan melakukan kueri ke kontrak cerdas tertentu yang dideploy di jaringan Polygon.

Kontrak tersebut menyimpan alamat proxy terbaru yang digunakan DeadLock untuk berkomunikasi. Proxy bertindak sebagai lapisan tengah, membantu penyerang mempertahankan kontak tanpa langsung mengungkap infrastruktur utama mereka.

Karena data kontrak pintar bersifat publik dan dapat dibaca, perangkat lunak jahat dapat mengambil detailnya tanpa mengirimkan transaksi blockchain apa pun.

Ini juga berarti korban tidak perlu membayar biaya gas atau berinteraksi dengan dompet.

DeadLock hanya membaca informasi, memperlakukan blockchain sebagai sumber data konfigurasi yang persisten.

Salah satu alasan metode ini menonjol adalah seberapa cepat para penyerang dapat mengubah rute komunikasi mereka.

Group-IB mengatakan pelaku di balik DeadLock dapat memperbarui alamat proxy yang disimpan di dalam kontrak kapan pun diperlukan.

Itu memberi mereka kemampuan untuk memutar infrastruktur tanpa memodifikasi perangkat lunak tebusan itu sendiri atau mendorong versi baru ke lingkungan.

Dalam kasus perangkat lunak tebusan tradisional, para penjaga terkadang dapat memblokir lalu lintas dengan mengidentifikasi server command-and-control yang diketahui.

Tapi dengan daftar proxy on-chain, setiap proxy yang terdeteksi dapat diganti dengan mudah hanya dengan memperbarui nilai yang disimpan kontrak.

Setelah kontak terbentuk melalui proxy yang diperbarui, korban menerima tuntutan tebusan sekaligus ancaman bahwa informasi yang dicuri akan dijual jika pembayaran tidak dilakukan.

Group-IB memperingatkan bahwa penggunaan data blockchain dengan cara ini membuat gangguan menjadi jauh lebih sulit.

Tidak ada satu server pusat pun yang bisa disita, dihilangkan, atau dimatikan.

Bahkan jika alamat proxy tertentu diblokir, para penyerang dapat beralih ke yang lain tanpa harus menyetel ulang perangkat lunak jahat.

Karena kontrak pintar tetap dapat diakses melalui node terdistribusi Polygon di seluruh dunia, data konfigurasi dapat terus ada bahkan jika infrastruktur di pihak penyerang berubah.

Para peneliti mengatakan ini memberi operator perangkat lunak tebusan mekanisme perintah dan pengendalian yang lebih tangguh dibandingkan dengan pengaturan hosting konvensional.

DeadLock pertama kali diamati pada Juli 2025 dan hingga kini masih relatif rendah proyeknya.

Group-IB mengatakan operasi tersebut hanya memiliki jumlah korban yang terbatas.

Laporan tersebut juga mencatat bahwa DeadLock tidak terkait dengan program afiliasi ransomware yang diketahui dan tampaknya tidak mengoperasikan situs kebocoran data publik.

Sementara itu mungkin menjelaskan mengapa kelompok ini mendapat perhatian lebih sedikit daripada merek perangkat lunak tebusan utama, para peneliti mengatakan pendekatan teknisnya layak dipantau secara dekat.

Group-IB memperingatkan bahwa meskipun DeadLock tetap kecil, tekniknya bisa dicuri oleh kelompok kejahatan siber yang lebih mapan.

Para peneliti menekankan bahwa DeadLock tidak memanfaatkan kerentanan apa pun dalam Polygon itu sendiri.

Ini juga tidak menyerang kontrak pintar pihak ketiga seperti protokol keuangan terdesentralisasi, dompet, atau jembatan.

Sebaliknya, para penyerang memanfaatkan sifat publik dan tidak dapat diubah dari data blockchain untuk menyembunyikan informasi konfigurasi.

Group-IB membandingkan teknik ini dengan pendekatan "EtherHiding" sebelumnya, di mana para pelaku kejahatan menggunakan jaringan blockchain untuk mendistribusikan data konfigurasi jahat.

Beberapa kontrak pintar yang terhubung ke kampanye tersebut dideploy atau diperbarui antara Agustus dan Nov. 2025, menurut analisis perusahaan tersebut.

Para peneliti mengatakan aktivitas tetap terbatas untuk saat ini, tetapi konsep tersebut bisa digunakan kembali dalam berbagai bentuk yang berbeda oleh pelaku ancaman lain.

Sementara pengguna dan pengembang Polygon tidak menghadapi risiko langsung dari kampanye spesifik ini, Group-IB mengatakan kasus ini adalah pengingat lain bahwa blockchain publik dapat disalahgunakan untuk mendukung aktivitas kriminal di luar rantai dalam cara yang sulit dideteksi dan dihancurkan.

Postingan Perangkat lunak tebusan DeadLock menyalahgunakan blockchain Polygon untuk memutar server proxy secara diam-diam muncul pertama kali pada CoinJournal.