Peretas BlueNoroff Korea Utara menggunakan panggilan Zoom palsu dan deepfake AI untuk membobol sebuah perusahaan kripto dan mengompromikan lebih dari 100 eksekutif Web3 di seluruh dunia.
Poin-Poin Utama
- BlueNoroff menyamar sebagai pengacara fintech, mengirim undangan kalender yang dimanipulasi, dan menggiring target ke panggilan Zoom tiruan.
- Trik clipboard ClickFix menjalankan PowerShell tanpa file yang merebut kredensial dan data dompet kripto dalam waktu kurang dari lima menit.
- Rekaman webcam yang dicuri dimasukkan ke deepfake AI yang menyamar sebagai korban sebelumnya untuk memancing gelombang target berikutnya.
BlueNoroff Membajak Panggilan Zoom untuk Menguras Dompet
Peneliti di Arctic Wolf melacak intrusi selama berbulan-bulan itu ke BlueNoroff, salah satu unit bermotif finansial dari Lazarus Group Korea Utara. Kampanye ini menghantam sebuah perusahaan Web3 Amerika Utara pada 23 Januari 2026, dan operator diam-diam mempertahankan akses selama 66 hari. Menyamar sebagai eksekutif legal di sebuah firma fintech, pelaku mengirim undangan Calendly untuk panggilan rutin yang dijadwalkan lima bulan ke depan.
Setelah target mengonfirmasi, pemesanan tersebut menukar tautan Google Meet dengan alamat Zoom typo-squatted yang tampak nyaris identik dengan yang asli. Telemetri kemudian menunjukkan korban mengeklik tautan berbahaya itu tiga kali dalam empat menit, yakin bahwa perangkat lunaknya sekadar bermasalah.
Juga Baca: Bitcoin Turun di Bawah $59K Saat Kekhawatiran Suku Bunga The Fed Kembali ke Kripto
Prompt ClickFix Menanamkan PowerShell Tanpa File
Di dalam rapat palsu tersebut, munculan mengklaim SDK Zoom perlu diperbarui dan menawarkan perbaikan cepat, tipu daya yang dikenal sebagai ClickFix. Saat korban menyalin perintah yang disediakan, halaman itu diam-diam menulis ulang clipboard dan menyuntikkan payload PowerShell tersembunyi. Satu kali tempel itu saja sudah memberi pijakan kepada pelaku tanpa ada berkas yang tersimpan ke disk.
Implant kemudian melakukan beacon ke server jarak jauh, menyedot login browser dan data dompet kripto, serta mengambil sesi Telegram aktif yang kemudian digunakan kembali untuk mendekati target baru dari akun-akun tepercaya. Dari klik pertama hingga kompromi sistem penuh, seluruh rangkaian berjalan dalam waktu kurang dari lima menit, sebuah kompromi yang sangat cepat.
Deepfake Mendaur Ulang Korban untuk Menjerat Target Baru
Panggilan palsu terasa meyakinkan karena setiap tile peserta menampilkan rekaman webcam yang dicuri, headshot hasil AI, atau video komposit deepfake, diambil dari pustaka lebih dari 100 korban sebelumnya di 20 negara. Penyelidik mengaitkan wajah sintetis tersebut dengan model GPT-4o milik OpenAI dan melacak pengeditannya ke satu operator yang meninggalkan nama pengguna macOS "king" di metadata. Setiap wajah curian kemudian dipakai untuk umpan berikutnya, sehingga tiap pelanggaran membuat serangan berikutnya makin sulit dideteksi.
Amerika Serikat menyumbang 41% dari korban yang teridentifikasi, diikuti Singapura dan Inggris. Sekitar 80% bekerja di bidang kripto, keuangan blockchain, atau peran investasi terkait, dan pendiri atau CEO menyumbang hampir separuh.
BlueNoroff bukan pemain baru di ranah ini. Grup tersebut pertama kali muncul dalam perampokan Bank Bangladesh 2016, ketika mereka memindahkan $81 juta, lalu beralih ke kripto melalui operasi SnatchCrypto jangka panjangnya. Kampanye ini menunjukkan bahwa buku pedoman yang sama kini dijalankan dengan AI, menaikkan standar bagi setiap tim kripto yang mencoba bertahan.
Baca Selanjutnya: AAVE Kalahkan Bitcoin Saat Narasi Peminjaman DeFi Kembali Menguat