Blockchain ve Kripto Para Birimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Stealthy Group, Mağdur İletişimini Kolaylaştırmak İçin Blockchain ‘EtherHiding’den Yararlanıyor
Mathew J. Schwartz (euroinfosec) •
14 Ocak 2026
Yeni ortaya çıkan bir dijital şantaj grubu, kurban kuruluşlarla fidye yazılımı müzakerelerini kolaylaştırmak amacıyla proxy sunucu adreslerini depolamak için blockchain akıllı sözleşmelerini kullanıyor.
Ayrıca bakınız: En Son MITRE ATT&CK Değerlendirmelerine İlişkin Tam Kılavuz
DeadLock fidye yazılımı grubu – Temmuz 2025’e kadar uzanıyor – ethereum blok zincirinin yanında çalışacak şekilde tasarlanmış bir kripto para birimi blok zinciri platformu olan Polygon üzerinde akıllı sözleşmeler kullanıyor.
“EtherHiding” olarak bilinen teknik, blockchain akıllı sözleşmelerine kötü niyetli talimatlar yerleştiriyor. Çoğu durumda bu tür faaliyetler hiçbir iz bırakmaz. Adanmışlar arasında geliştiricileri ve kripto para birimi firmalarını hedef alan Kuzey Koreli bir ulus devlet grubu ve finansal motivasyona sahip bir siber suç grubu da yer alıyor (bkz: Bilgisayar Korsanları Kötü Amaçlı Yazılımları Görünürde Gizlemek için Blockchain Kullanıyor).
ReversingLabs’taki araştırmacılar geçen sonbaharda, bir URL’yi virüs bulaşmış bir uç noktaya aktarmak için akıllı sözleşmeler kullanan ve kötü amaçlı bir kod bırakıcı tarafından ikinci aşama kötü amaçlı yazılımları indirmek için kullanılan bir kampanyanın ayrıntılarını verdi.
Siber güvenlik şirketi Group-IB, Information Security Media Group ile paylaştığı bir raporda DeadLock’un ortaya çıktıktan birkaç hafta sonra, bu durumda komuta ve kontrol amacıyla EtherHiding’i benimsemiş gibi göründüğünü söyledi. Grup tarafından kullanılan, C++ dilinde yazılmış ve Windows sistemlerini hedef alan bilinen ilk kripto kilitleme kötü amaçlı yazılım ikili dosyası Temmuz 2025’te derlendi ve faaliyetlerinin başlangıcını işaret ediyor gibi görünüyor.
Araştırmacılar, suç grubunun bir veri sızıntısı sitesi bulundurmadığını, bunun yerine anonimlik odaklı, uçtan uca şifrelenmiş Oturum mesajlaşma sistemine güvendiğini söyledi. Her kurbana bir Oturum Kimliği verir. Sonuç olarak grubun kaç kurban topladığını tahmin etmek zor.
Group-IB, grubun fidye yazılımının en az üç farklı versiyonunu bulduğunu söyledi. En son sürüm, Oturum iletişimleri için sarmalayıcı görevi görecek şekilde tasarlanmış bir HTML dosyası içerir. HTML dosyasının içindeki JavaScript, Polygon blok zinciri veya ağıyla, adı verilen bir işlevi kullanarak etkileşimde bulunmak üzere tasarlanmıştır. setProxyve bunu yapmak için bir uzaktan prosedür çağrı listesi içerir; işlev mantığı, herhangi birinin engellenmesi durumunda listede kendi yolunda çalışır.
Blockchain akıllı sözleşmesi, blockchain üzerinde herhangi bir maliyet gerektirecek herhangi bir işlem oluşturmadan komut dosyası tarafından alınabilen proxy sunucu adreslerini saklar. Komut dosyası, adı verilen bir işlevi yürütür. sendProxy Alınan IP adresindeki proxy sunucusuna istek gönderen. Araştırmacılar, bu taleplerin, merkezi olmayan Oturum tarafından kullanılan bir terim olan “sürüler” ve oturum veya hizmet düğümlerine atıfta bulunabilecek “snode” referanslarını içerdiğini söyledi. Başka bir işlev, sendMessagebir kullanıcının mesajını JSON nesnesi olarak şifreler ve proxy sunucusuna yönlendirir.
Group-IB, bu URL’lerin çözümlendiği sunucuların Vesta kontrol panellerini, Shopware e-ticaret platformlarını, cPanel kontrol panellerini ve WordPress kurulumlarını çalıştıran sistemlerin bir karışımını içerdiğini ve bunların bazılarının ele geçirildiğini, diğerlerinin ise saldırganlar tarafından oluşturulup barındırıldığını söyledi.
Araştırmacılar, DeadLock’un Polygon akıllı sözleşmelerinin, ilk olarak Ağustos 2025’te oluşturulup güncellenen ve daha sonra Kasım 2025’te güncellenen birden fazla kopyasını tespit etti. setProxy Siber güvenlik firması, işlemlerin minimum düzeyde bile olsa blockchain maliyetlerine yol açtığını, DeadLock operatörünün bu işlemleri karşılayabilmek için adrese fon sağlaması gerektiğini” ve anında, tam otomatik kripto para borsası FixFloat’a bağlı bir cüzdan kullandığını yazdı.
Gelişmiş Operasyon
DeadLock’un EtherHiding kullanmasının da gösterdiği gibi, operasyon fidye yazılımı acemilerinden oluşmuş gibi görünmüyor.
Cisco Talos, yakın tarihli bir araştırma raporunda DeadLock’a, kısmen “standart Windows şifreleme API’leri yerine özel şifreleme uygulamaları” kullanımı sayesinde “algılamalardan kaçınırken tüm dosya sistemlerini verimli bir şekilde şifrelemek için” tasarlanmış, şifrelemeye yönelik oldukça “sofistike” bir yaklaşım atfediyor.
Grubun saldırıları sadece birkaç gün içinde devam edebilir, bu da deneyimli operatörlerin iş başında olduğunu gösteriyor.
Cisco Talos tarafından araştırılan bir saldırıda, DeadLock’un serbest bırakılmasından beş gün önce, tehdit aktörü, Baidu Antivirus’teki bir güvenlik açığı olan CVE-2024-51324’ten yararlandı; bu güvenlik açığı, saldırganların “kendi savunmasız sürücünüzü getir” tekniğini kullanarak keyfi bir süreci sonlandırmak için yararlanabileceği bir saldırıydı. Bu durumda, sistem üzerinde çalışan uç nokta algılama ve yanıt süreçlerini içeriyordu.
Müfettişler, saldırganın kurbanın ortamını şifrelemeden bir gün önce, hedef ortamda zaten kullanılan AnyDesk uzak masaüstü yazılımını kendisine kalıcı erişim sağlamak için bir ana bilgisayara yüklediğini buldu. Saldırgan, oradan uzak masaüstü protokolünü etkinleştirdi ve bunu ağ üzerinde yanal olarak hareket etmek için kullandı, şüpheli dosyaları analiz için göndermesini engellemek için Windows Defender’daki gerçek zamanlı korumayı devre dışı bıraktı, kısmen sistemin gölge kopyasını silerek kurtarmayı zorlaştırmak için tasarlanmış bir PowerShell betiği çalıştırdı ve ardından fidye yazılımını kuruluş içinde serbest bıraktı.
Yeniden başlatmanın ardından, virüslü sistemlerde “Altyapınız DeadLocked” mesajını içeren duvar kağıdı görüntülendi. Kriptoyla kilitlenen her dizine eklenen fidye notları, kurbanın iletişim kurması ve fidye ödemesini görüşmesi için benzersiz bir Oturum Kimliği içeriyordu. Saldırganlar, kurbanlar bir şifre çözücü için ödeme yapmadığı sürece, çalınan verileri atmakla da tehdit ediyor; bu da bu, çifte gasp saldırısı anlamına geliyor.