استخدم قراصنة BlueNoroff في كوريا الشمالية مكالمات Zoom مزيفة وعمليات تزييف عميق بالذكاء الاصطناعي لاختراق شركة عملات مشفرة، واستهداف أكثر من 100 من مسؤولي Web3 حول العالم.
النقاط الرئيسية
- ادعى أفراد من بلو نوروف أنهم محامٍ في مجال التكنولوجيا المالية، وأرسلوا دعوة تقويم مُعدَّلة، ووجّهوا الهدف إلى مكالمة زوم مزيفة.
- خدعة ClickFix في الحافظة شغّلت PowerShell بدون ملفات، واستولت على بيانات الاعتماد وبيانات محافظ العملات المشفرة في أقل من خمس دقائق.
- لقطات كاميرا الويب المسروقة غذّت عمليات تزييف عميق انتحلت هوية الضحايا السابقين لاستدراج جولة جديدة من الأهداف.
بلو نوروف تختطف مكالمات زوم لتفريغ المحافظ
باحثون في شركة Arctic Wolf تتبّعوا عملية التسلل التي استمرت لأشهر إلى مجموعة بلو نوروف، الذراع المالية لمجموعة Lazarus Group الكورية الشمالية. استهدفت الحملة شركة Web3 في أميركا الشمالية في 23 يناير 2026، واحتفظ المشغّلون بالوصول سراً لمدة 66 يوماً. ومن خلال انتحال صفة مسؤول قانوني في شركة تكنولوجيا مالية، قام المهاجم بإرسال دعوة Calendly لمكالمة متابعة روتينية تم تحديد موعدها بعد خمسة أشهر.
بعد تأكيد الهدف، استبدلت عملية الحجز رابط Google Meet برابط زوم مزيف تم تسجيله بخطأ إملائي، بدا شبه مطابق للرابط الحقيقي. وأظهرت بيانات القياس لاحقاً أن الضحية نقر على الرابط الخبيث ثلاث مرات خلال أربع دقائق، معتقداً أن البرنامج يواجه مجرد عطل تقني.
أيضاً اقرأ: هبوط بيتكوين دون 59 ألف دولار مع عودة مخاوف رفع الفائدة إلى سوق الكريبتو
خدعة ClickFix تزرع PowerShell بدون ملفات
داخل الاجتماع المزيف، ظهر منبثق يزعم أن حزمة تطوير زوم تحتاج إلى تحديث ويقدّم إصلاحاً سريعاً، وهي حيلة تُعرَف باسم ClickFix. عندما قام الضحية بنسخ الأوامر المزوَّدة، قام الموقع بهدوء بإعادة كتابة محتوى الحافظة وحقن حمولة PowerShell مخفية. ومن خلال عملية لصق واحدة فقط حصل المهاجم على موطئ قدم من دون أن يلامس أي ملف القرص.
بعد ذلك، قام البرمجية الخبيثة بالاتصال بخادم بعيد، وجمع بيانات تسجيل الدخول المخزنة في المتصفح وبيانات محافظ العملات المشفرة، واستولى على جلسات Telegram النشطة التي استُخدمت لاحقاً للتواصل مع أهداف جديدة من حسابات موثوقة. من النقر الأول إلى الاختراق الكامل للنظام، اكتملت السلسلة بأكملها في أقل من خمس دقائق، وهي سرعة اختراق غير معتادة.
التزييف العميق يعيد تدوير الضحايا للإيقاع بأهداف جديدة
بدت المكالمات المزيفة مقنعة لأن كل مربع مشاركة على الشاشة أظهر لقطات كاميرا ويب مسروقة، أو صور وجوه مولَّدة بالذكاء الاصطناعي، أو فيديوهات مركّبة مزيّفة، جرى سحبها من مكتبة تضم أكثر من 100 ضحية سابقة في 20 دولة. ربط المحقّقون هذه الوجوه الاصطناعية بنموذج GPT-4o من OpenAI وتتبعوا عمليات المونتاج إلى مشغّل واحد ترك اسم مستخدم macOS "king" في البيانات الوصفية. كل وجه مسروق أصبح بدوره طُعماً للهجوم التالي، مما جعل اكتشاف كل موجة جديدة أصعب من سابقتها.
شكّل الأفراد في الولايات المتحدة 41% من الضحايا المعروفين، تلتهم سنغافورة والمملكة المتحدة. حوالي 80% منهم عملوا في العملات المشفرة، أو التمويل القائم على البلوكتشين، أو أدوار استثمارية قريبة، وشكّل المؤسسون أو الرؤساء التنفيذيون ما يقرب من النصف.
ليست بلو نوروف وافداً جديداً إلى هذا المجال. فقد ظهرت المجموعة إلى السطح خلال عملية سطو بنك بنغلاديش عام 2016، عندما حوّلت 81 مليون دولار، قبل أن تتحوّل إلى العملات المشفرة عبر عملية SnatchCrypto طويلة الأمد. تُظهِر هذه الحملة أن المنهجية نفسها باتت تعمل الآن بالذكاء الاصطناعي، ما يرفع مستوى التحدي أمام كل فريق عملات مشفرة يحاول الدفاع عن نفسه.
اقرأ التالي: تفوق AAVE على بيتكوين مع عودة زخم الإقراض اللامركزي DeFi