Nordkoreas BlueNoroff-Hacker setzten gefälschte Zoom-Anrufe und KI-Deepfakes ein, um ein Kryptounternehmen zu kompromittieren und mehr als 100 Web3-Führungskräfte weltweit anzugreifen.
Zentrale Punkte
- BlueNoroff gab sich als Fintech-Anwalt aus, verschickte eine manipulierte Kalendereinladung und lenkte das Opfer in einen gefälschten Zoom-Anruf.
- Ein ClickFix-Zwischenablagen-Trick startete dateiloses PowerShell, das in weniger als fünf Minuten Zugangsdaten und Kryptowallet-Daten erbeutete.
- Gestohlene Webcam-Aufnahmen speisten KI-Deepfakes, die frühere Opfer imitierten, um die nächste Runde von Zielen anzulocken.
BlueNoroff kapert Zoom-Anrufe, um Wallets zu leeren
Forscher von Arctic Wolf verfolgten den monatelangen Einbruch bis zu BlueNoroff zurück, einem finanziell motivierten Arm von Nordkoreas Lazarus Group. Die Kampagne traf am 23. Januar 2026 ein nordamerikanisches Web3-Unternehmen, und die Angreifer hielten ihren Zugriff unauffällig 66 Tage lang aufrecht. Als angeblicher Rechtsvorstand eines Fintech-Unternehmens verschickte der Angreifer eine Calendly-Einladung für einen routinemäßigen Abstimmungsanruf, der fünf Monate im Voraus terminiert war.
Nachdem das Ziel bestätigt hatte, ersetzte die Buchung den Google Meet-Link durch eine typo-gesquattete Zoom-Adresse, die fast identisch mit der echten aussah. Telemetriedaten zeigten später, dass das Opfer den schädlichen Link innerhalb von vier Minuten dreimal anklickte, überzeugt davon, dass die Software nur fehlerhaft lief.
Auch lesen: Bitcoin fällt unter 59.000 $, da Fed-Zinsängste in den Kryptomarkt zurückkehren
ClickFix-Eingabeaufforderung pflanzt dateiloses PowerShell ein
Im gefälschten Meeting meldete ein Pop-up, dass das Zoom-SDK ein Update benötige, und bot eine schnelle Lösung an – ein Trick, der als ClickFix bekannt ist. Als das Opfer die bereitgestellten Befehle kopierte, überschrieb die Seite heimlich die Zwischenablage und injizierte eine versteckte PowerShell-Nutzlast. Dieses eine Einfügen verschaffte dem Angreifer einen Fuß in der Tür, ohne dass jemals eine Datei auf die Festplatte geschrieben wurde.
Das Implantat nahm dann Kontakt zu einem entfernten Server auf, sammelte Browser-Logins und Kryptowallet-Daten ein und übernahm aktive Telegram-Sitzungen, die später genutzt wurden, um neue Ziele von vertrauenswürdigen Konten aus anzusprechen. Vom ersten Klick bis zur vollständigen Systemkompromittierung dauerte die gesamte Kette weniger als fünf Minuten – ein ungewöhnlich schneller Angriff.
Deepfakes recyceln Opfer, um neue Ziele zu ködern
Die gefälschten Anrufe wirkten überzeugend, weil jede Kachel eines Teilnehmers gestohlene Webcam-Aufnahmen, KI-generierte Porträtfotos oder Deepfake-Kompositvideos zeigte, die aus einer Bibliothek von mehr als 100 früheren Opfern in 20 Ländern stammten. Ermittler verknüpften die synthetischen Gesichter mit dem GPT-4o-Modell von OpenAI und verfolgten die Bearbeitung zu einem Operator zurück, der den macOS-Benutzernamen „king“ in den Metadaten hinterließ. Jedes gestohlene Gesicht speiste dann den nächsten Köder, sodass jeder Einbruch den folgenden Angriff schwerer erkennbar machte.
Die USA stellten 41 % der identifizierten Opfer, gefolgt von Singapur und dem Vereinigten Königreich. Rund 80 % arbeiteten in Krypto, Blockchain-Finanzwesen oder angrenzenden Investmentrollen, und Gründer oder Geschäftsführer machten fast die Hälfte aus.
BlueNoroff ist kein Neuling in diesem Geschäft. Die Gruppe tauchte während des Bangladesh-Bankraubs 2016 auf, als sie 81 Millionen US-Dollar bewegte, und schwenkte anschließend im Rahmen ihrer langjährigen SnatchCrypto-Operation auf Krypto um. Diese Kampagne zeigt, dass dasselbe Vorgehen nun von KI angetrieben wird – und damit die Messlatte für jedes Kryptoteam anhebt, das sich dagegen verteidigen muss.
Als Nächstes lesen: AAVE übertrifft Bitcoin, da die DeFi-Lending-Story zurückkehrt