استخدم قراصنة BlueNoroff الكوريون الشماليون مكالمات Zoom مزيفة وديب فيك بالذكاء الاصطناعي لاختراق شركة تشفير وتعريض أكثر من 100 مدير تنفيذي في Web3 حول العالم للخطر.
النقاط الرئيسية
- تظاهرت BlueNoroff بأنها محامية في مجال التكنولوجيا المالية، وأرسلت دعوة تقويم معدَّلة، ودفعت الهدف إلى مكالمة Zoom مزيفة.
- خدعة ClickFix في الحافظة شغَّلت PowerShell بدون ملفات، واستولت على بيانات الاعتماد وبيانات محافظ العملات المشفرة في أقل من خمس دقائق.
- لقطات كاميرا الويب المسروقة غذَّت ديب فيك تقلد ضحايا سابقين لاستدراج الجولة التالية من الأهداف.
BlueNoroff تختطف مكالمات Zoom لتفريغ المحافظ
تتبَّع باحثون في Arctic Wolf الهجوم الذي استمر عدة أشهر إلى مجموعة BlueNoroff، وهي ذراع مالية تابعة لمجموعة Lazarus Group الكورية الشمالية. استهدفت الحملة شركة Web3 في أمريكا الشمالية في 23 يناير 2026، واحتفظ المهاجمون بالوصول بشكل هادئ لمدة 66 يومًا. وبالتظاهر كمسؤولة قانونية في شركة تكنولوجيا مالية، أرسل المهاجم دعوة Calendly لمكالمة متابعة روتينية جرى تحديدها بعد خمسة أشهر.
بعد تأكيد الهدف، استبدلت عملية الحجز رابط Google Meet برابط Zoom من نوع «الكتابة المتقاربة» بدا شبه مطابق للرابط الحقيقي. أظهرت بيانات القياس عن بُعد لاحقًا أن الضحية نقرت الرابط الخاطئ ثلاث مرات خلال أربع دقائق، مقتنعة بأن البرنامج يواجه مجرد عطل.
اقرأ أيضًا: تراجع بيتكوين دون 59 ألف دولار مع عودة مخاوف الفيدرالي إلى سوق الكريبتو
موجه ClickFix يزرع PowerShell بدون ملفات
داخل الاجتماع المزيف، ظهر منبثق يدَّعي أن حزمة تطوير Zoom SDK تحتاج إلى تحديث ويعرض إصلاحًا سريعًا، وهي حيلة تُعرف باسم ClickFix. عندما قام الضحية بنسخ الأوامر المزوَّدة، أعاد الموقع كتابة محتوى الحافظة بصمت وحقن حمولة PowerShell مخفية. تلك اللصقة الواحدة منحت المهاجم موطئ قدم دون أن يلمس أي ملف القرص.
بعدها تواصلت الزرعة مع خادم بعيد، وجمعت تسجيلات دخول المتصفح وبيانات محافظ العملات المشفرة، واستولت على جلسات Telegram النشطة التي استُخدمت لاحقًا للتواصل مع أهداف جديدة من حسابات موثوقة. من النقرة الأولى حتى السيطرة الكاملة على النظام، اكتملت السلسلة في أقل من خمس دقائق، وهي سرعة اختراق غير معتادة.
الديب فيك يعيد تدوير الضحايا لاصطياد أهداف جديدة
بدت المكالمات المزيفة مقنعة لأن كل مربع مشاركة أظهر لقطات مسروقة من كاميرات الويب، أو صور وجوه مولَّدة بالذكاء الاصطناعي، أو فيديو مركب بالديب فيك، مأخوذة من مكتبة تضم أكثر من 100 ضحية سابقة في 20 دولة. ربط المحققون الوجوه الاصطناعية بنموذج GPT-4o من OpenAI وتتبعوا عمليات التحرير إلى مشغِّل واحد ترك اسم مستخدم macOS «king» في البيانات الوصفية. كل وجه مسروق أصبح طُعمًا للهجمة التالية، ما جعل كل اختراق جديد أصعب في الاكتشاف من سابقه.
شكَّلت الولايات المتحدة 41٪ من الضحايا المحددين، تلتها سنغافورة والمملكة المتحدة. حوالي 80٪ منهم يعملون في التشفير، أو تمويل البلوك تشين، أو أدوار استثمارية مرتبطة، وشكَّل المؤسسون أو المديرون التنفيذيون نحو النصف تقريبًا.
ليست BlueNoroff جديدة على هذا المجال. فقد ظهرت خلال عملية سطو بنك بنغلاديش عام 2016 عندما حرَّكت 81 مليون دولار، ثم تحوَّلت إلى التشفير عبر حملة SnatchCrypto طويلة الأمد. تُظهر هذه الحملة أن الأسلوب نفسه بات يعمل الآن بالذكاء الاصطناعي، رافعًا مستوى التحدي أمام كل فريق تشفير يحاول الدفاع عن نفسه.
اقرأ التالي: عملة AAVE تتفوق على بيتكوين مع عودة سردية الإقراض في DeFi