Expertos alertan de una técnica emergente que reutiliza la blockchain como canal encubierto para malware
Contratos inteligentes como infraestructura de ataque
La firma de ciberseguridad Group-IB advirtió que una nueva familia de ransomware está utilizando contratos inteligentes en Polygon para distribuir y rotar direcciones de servidores proxy, dificultando su detección y bloqueo por parte de los defensores.
El malware, identificado por primera vez en julio de 2025, ha pasado relativamente desapercibido hasta ahora debido a su bajo número de víctimas, la ausencia de un programa de afiliados y la falta de un sitio público de filtración de datos.
Paralelismos con ataques previos en Ethereum
La técnica recuerda a métodos observados recientemente en ataques basados en Ethereum, como el denominado “EtherHiding”, documentado por el Google Threat Intelligence Group. En esos casos, los atacantes ocultaban código malicioso dentro de contratos inteligentes para hacerlo resistente a derribos tradicionales.
Según Group-IB, el uso de contratos para entregar listas dinámicas de proxies permite a los atacantes generar variantes prácticamente ilimitadas del mismo método, complicando la respuesta defensiva.
Cómo funciona el ataque
Los investigadores detectaron código JavaScript incrustado en archivos HTML que interactúa con un contrato inteligente en la red Polygon. Dicho contrato contiene endpoints RPC que actúan como puertas de acceso a la blockchain, permitiendo recuperar direcciones de servidores proxy actualizadas.
Las infecciones renombraban los archivos cifrados con la extensión “.dlock” y sustituían el fondo de escritorio por notas de rescate. Versiones más recientes también alertan a las víctimas de que datos sensibles habrían sido exfiltrados y podrían venderse o filtrarse si no se paga el rescate.
Comunicación cifrada con las víctimas
Otra evolución destacada es la incorporación de canales de comunicación directa entre el atacante y la víctima. El ransomware despliega un archivo HTML que funciona como envoltorio de la aplicación de mensajería cifrada Session, facilitando el contacto sin recurrir a infraestructuras fácilmente bloqueables.
Conclusión
Aunque su impacto actual es limitado, el uso de contratos inteligentes como canal encubierto marca un salto cualitativo en la sofisticación del ransomware. La reutilización de blockchains públicas como Polygon y Ethereum para ocultar infraestructura maliciosa refuerza la necesidad de que empresas y organismos traten estas amenazas emergentes con mayor seriedad antes de que escalen.
