Nordkoreas BlueNoroff-Hacker setzten gefälschte Zoom-Calls und KI-Deepfakes ein, um ein Kryptounternehmen zu kompromittieren und mehr als 100 Web3-Führungskräfte weltweit anzugreifen.
Zentrale Punkte
- BlueNoroff gab sich als Fintech-Anwalt aus, versendete eine manipulierte Kalendereinladung und lenkte das Ziel in einen gefälschten Zoom-Call.
- Ein ClickFix-Zwischenablagen-Trick startete filelose PowerShell, die in weniger als fünf Minuten Zugangsdaten und Kryptowallet-Daten erbeutete.
- Gestohlene Webcam-Aufnahmen speisten KI-Deepfakes, die frühere Opfer imitierten, um die nächste Welle von Zielen anzulocken.
BlueNoroff kapert Zoom-Calls, um Wallets zu leeren
Forscher von Arctic Wolf verfolgten den monatelangen Einbruch bis zu BlueNoroff zurück, einem finanziell motivierten Arm von Nordkoreas Lazarus Group. Die Kampagne traf am 23. Januar 2026 ein nordamerikanisches Web3-Unternehmen, und die Angreifer hielten ihren Zugriff unbemerkt 66 Tage lang aufrecht. Als angeblicher leitender Jurist eines Fintech-Unternehmens verschickte der Angreifer eine Calendly-Einladung für einen routinemäßigen Catch-up-Call, der fünf Monate in der Zukunft terminiert war.
Nachdem das Ziel bestätigt hatte, ersetzte die Buchung den Google Meet-Link durch eine typosquattende Zoom-Adresse, die fast identisch mit der echten aussah. Telemetriedaten zeigten später, dass das Opfer in vier Minuten dreimal auf den schadhaften Link klickte – in dem Glauben, die Software sei einfach fehlerhaft.
Auch lesenswert: Bitcoin fällt unter 59.000 US-Dollar, da Fed-Zinsängste in den Kryptomarkt zurückkehren
ClickFix-Eingabe pflanzt filelose PowerShell ein
Im gefälschten Meeting erschien ein Pop-up, das vorgab, das Zoom-SDK müsse aktualisiert werden, und bot eine schnelle Lösung an – ein Trick, der als ClickFix bekannt ist. Als das Opfer die angegebenen Befehle kopierte, überschrieb die Seite heimlich die Zwischenablage und injizierte eine versteckte PowerShell-Nutzlast. Dieses eine Einfügen verschaffte dem Angreifer einen Zugangspunkt, ohne dass jemals eine Datei auf die Festplatte geschrieben wurde.
Das Implantat nahm anschließend Kontakt zu einem entfernten Server auf, sammelte Browser-Logins und Kryptowallet-Daten ein und stahl aktive Telegram-Sitzungen, die später wiederverwendet wurden, um neue Ziele über vertrauenswürdige Accounts anzusprechen. Vom ersten Klick bis zur vollständigen Systemkompromittierung vergingen weniger als fünf Minuten – ein ungewöhnlich schneller Angriff.
Deepfakes recyceln Opfer, um neue Ziele zu ködern
Die gefälschten Anrufe wirkten überzeugend, weil jedes Kachelbild eines Teilnehmers gestohlene Webcam-Aufnahmen, KI-generierte Porträtbilder oder Deepfake-Kompositvideos zeigte, die aus einer Bibliothek von mehr als 100 früheren Opfern in 20 Ländern stammten. Ermittler führten die synthetischen Gesichter auf das Modell GPT-4o von OpenAI zurück und verfolgten die Bearbeitung zu einem Operator, der den macOS-Benutzernamen „king“ in den Metadaten zurückließ. Jedes gestohlene Gesicht nährte dann den nächsten Köder, sodass jeder Einbruch den folgenden Angriff schwerer erkennbar machte.
Die Vereinigten Staaten stellten 41 % der identifizierten Opfer, gefolgt von Singapur und dem Vereinigten Königreich. Rund 80 % arbeiteten in Krypto, Blockchain-Finanzierung oder angrenzenden Investmentrollen, und Gründer oder CEOs machten fast die Hälfte aus.
BlueNoroff ist in diesem Geschäft kein Neuling. Die Gruppe tauchte beim Bangladesch-Bankraub 2016 auf, als sie 81 Millionen US-Dollar bewegte, und schwenkte anschließend mit der langjährigen SnatchCrypto-Operation auf Krypto um. Diese Kampagne zeigt, dass nun dasselbe Playbook mit KI betrieben wird – und damit die Messlatte für jedes Krypto-Team höher legt, das sich dagegen verteidigen muss.
Als Nächstes lesen: AAVE übertrifft Bitcoin, da das DeFi-Lending-Narrativ zurückkehrt