مجموعة برامج الفدية تستخدم عقود ذكية من Polygon للتهرب من الإيقاف

يقول باحثو الأمن السيبراني إن مجموعة برامج الفدية ذات الملف الشخصي المنخفض تستخدم عقود ذكية على Polygon لإخفاء وتدوير بنيتها التحتية للتحكم والأوامر.
ملخص

• تم رصد برنامج الفدية DeadLock لأول مرة في يوليو 2025، ويخزن عناوين البروكسي الدوارة داخل العقود الذكية على Polygon لتجنب الإيقاف.
• تعتمد التقنية فقط على قراءة البيانات على السلسلة ولا تستغل الثغرات في Polygon أو العقود الذكية الأخرى.
• يحذر الباحثون من أن الطريقة رخيصة ولامركزية وصعبة الحظر، على الرغم من أن الحملة حتى الآن لديها عدد محدود من الضحايا المؤكدين.

يحذر خبراء الأمن السيبراني من أن سلالة برامج الفدية التي تم تحديدها مؤخرًا تستخدم عقودًا ذكية على Polygon بطريقة غير معتادة قد تجعل بنيتها التحتية أصعب تعطيلها.

في تقرير نُشر في 15 يناير، قال باحثو شركة Group-IB إن برنامج الفدية، المعروف باسم DeadLock، يسيء استخدام العقود الذكية القابلة للقراءة علنًا على شبكة Polygon (POL) لتخزين وتدوير عناوين خوادم البروكسي المستخدمة للتواصل مع الضحايا المصابين.

تم رصد DeadLock لأول مرة في يوليو 2025 وظل منخفضًا نسبيًا منذ ذلك الحين. وقالت شركة Group-IB إن العملية لديها عدد محدود من الضحايا المؤكدين ولا ترتبط بأي برامج تابع لبرامج الفدية المعروفة أو مواقع تسريب البيانات العامة.

على الرغم من قلة الظهور، حذرت الشركة من أن التقنيات المستخدمة مبتكرة للغاية وقد تشكل مخاطر خطيرة إذا قام بها مجموعات أكثر رسوخًا.

كيف تعمل التقنية

بدلاً من الاعتماد على خوادم الأوامر والتحكم التقليدية، والتي يمكن حظرها أو إيقافها غالبًا، يدمج DeadLock رمزًا يستعلم عن عقدة ذكية محددة على Polygon بعد إصابة النظام وتشفيره. تخزن تلك العقدة عنوان البروكسي الحالي المستخدم لنقل الاتصالات بين المهاجمين والضحية.

نظرًا لأن البيانات مخزنة على السلسلة، يمكن للمهاجمين تحديث عنوان البروكسي في أي وقت، مما يسمح لهم بتدوير البنية التحتية بسرعة دون إعادة نشر البرمجيات الخبيثة. لا يحتاج الضحايا إلى إرسال معاملات أو دفع رسوم غاز، حيث يقوم برنامج الفدية فقط بعمليات قراءة على blockchain.

بمجرد إقامة الاتصال، يتلقى الضحايا مطالبات فدية مع تهديدات بأن البيانات المسروقة ستُباع إذا لم يتم الدفع. وأشارت Group-IB إلى أن هذا النهج يجعل بنية برنامج الفدية أكثر مرونة بكثير.

لا يوجد خادم مركزي لإيقافه، وتظل بيانات العقد متاحة عبر عقد موزعة في جميع أنحاء العالم، مما يجعل الإيقاف أكثر صعوبة بشكل كبير.

لا ثغرة في Polygon متورطة

أكد الباحثون أن DeadLock لا يستغل عيوبًا في Polygon نفسه أو في العقود الذكية من طرف ثالث مثل بروتوكولات التمويل اللامركزي، المحافظ، أو الجسور. إن برنامج الفدية يسيء ببساطة إلى الطبيعة العامة والثابتة لبيانات blockchain لإخفاء معلومات التكوين، وهي طريقة مماثلة لتقنيات “EtherHiding” السابقة.

تم نشر أو تحديث عدة عقود ذكية مرتبطة بالحملة بين أغسطس ونوفمبر 2025، وفقًا لتحليل Group-IB. على الرغم من أن النشاط لا يزال محدودًا حتى الآن، حذرت الشركة من أن المفهوم يمكن أن يُعاد استخدامه في العديد من التنويعات من قبل جهات تهديد أخرى.

بينما لا يواجه مستخدمو ومطورو Polygon مخاطر مباشرة من الحملة، يقول الباحثون إن الحالة تبرز كيف يمكن أن يُساء استخدام blockchain العامة لدعم أنشطة إجرامية خارج السلسلة بطرق يصعب اكتشافها وتفكيكها.