**Polygon Network Exploited by DeadLock Ransomware to Evade Detection Systems**

Исследователи безопасности из Group-IB обнаружили сложную стратегию уклонения, используемую семейством вымогательского ПО DeadLock, которая использует смарт-контракты Polygon для динамической смены адресов прокси-серверов и обхода традиционных механизмов обнаружения. Впервые выявленное в июле 2025 года, это вредоносное ПО представляет собой заметное развитие в том, как киберпреступники злоупотребляют инфраструктурой блокчейна для целей операционной безопасности.

**Техническая архитектура и методы внедрения кода**

Цепочка атак DeadLock сосредоточена на внедрении сценариев JavaScript в HTML-файлы, которые напрямую взаимодействуют с сетью Polygon. Вместо хранения вредоносных инструкций на традиционных серверах, вредоносное ПО запрашивает у RPC-шлюзов, основанных на блокчейне, список прокси-эндпоинтов, контролируемых злоумышленниками. Этот подход напоминает ранее задокументированную кампанию EtherHiding, иллюстрируя возникающую тенденцию, при которой угрозы используют децентрализованные реестры для построения скрытых каналов связи, которые традиционные методы блокировки затрудняются нейтрализовать.

**Усугубляющаяся угроза**

Вредоносное ПО в настоящее время существует как минимум в трех различных вариантах, при этом последняя версия включает в себя Session — зашифрованный протокол связи — прямо в свой код. Эта интеграция позволяет злоумышленникам устанавливать сквозные зашифрованные туннели с скомпрометированными системами, что значительно усложняет реагирование на инциденты и уведомление жертв.

Использование инфраструктуры Polygon подчеркивает критическую уязвимость: сети блокчейн, предназначенные для прозрачности и децентрализации, все чаще переиспользуются как устойчивые командные и управляющие структуры, которые уклоняются от традиционных средств безопасности.