Peretas BlueNoroff Korea Utara menggunakan panggilan Zoom palsu dan deepfake AI untuk membobol sebuah perusahaan kripto dan mengompromikan lebih dari 100 eksekutif Web3 di seluruh dunia.
Poin-Poin Utama
- BlueNoroff menyamar sebagai pengacara fintech, mengirim undangan kalender yang dimanipulasi, dan menggiring target ke panggilan Zoom palsu.
- Trik clipboard ClickFix menjalankan PowerShell tanpa file yang merebut kredensial dan data dompet kripto dalam waktu kurang dari lima menit.
- Rekaman webcam yang dicuri dipakai untuk membuat deepfake AI yang meniru korban sebelumnya guna memancing target-target berikutnya.
BlueNoroff Membajak Panggilan Zoom untuk Menguras Dompet
Peneliti di Arctic Wolf melacak intrusi berbulan-bulan itu ke BlueNoroff, unit berorientasi finansial dari Lazarus Group Korea Utara. Kampanye tersebut menghantam sebuah perusahaan Web3 di Amerika Utara pada 23 Januari 2026, dan operator diam-diam mempertahankan akses selama 66 hari. Dengan menyamar sebagai eksekutif legal di sebuah perusahaan fintech, penyerang mengirim undangan Calendly untuk panggilan pembaruan rutin yang dijadwalkan lima bulan ke depan.
Setelah target mengonfirmasi, pemesanan itu menukar tautan Google Meet aslinya dengan alamat Zoom typo-squatted yang tampak hampir identik dengan yang asli. Telemetri kemudian menunjukkan korban mengklik tautan berbahaya itu tiga kali dalam empat menit, yakin bahwa perangkat lunak hanya sedang bermasalah.
Juga Baca: Bitcoin Turun di Bawah $59K Saat Kekhawatiran Suku Bunga The Fed Kembali ke Kripto
Prompt ClickFix Menanam PowerShell Tanpa File
Di dalam pertemuan palsu tersebut, sebuah pop-up mengklaim SDK Zoom perlu diperbarui dan menawarkan perbaikan cepat, tipu daya yang dikenal sebagai ClickFix. Ketika korban menyalin perintah yang disediakan, halaman itu diam-diam menulis ulang clipboard dan menyuntikkan payload PowerShell tersembunyi. Satu kali paste itu saja sudah memberi pijakan bagi penyerang tanpa ada file yang menyentuh disk.
Implant kemudian melakukan beacon ke server jarak jauh, menyedot login browser dan data dompet kripto, serta mengambil sesi Telegram aktif yang kemudian digunakan kembali untuk mendekati target baru dari akun-akun tepercaya. Dari klik pertama hingga sistem sepenuhnya terkompromi, seluruh rangkaian hanya memakan waktu kurang dari lima menit, kecepatan kompromi yang tidak biasa.
Deepfake Mendaur Ulang Korban untuk Menjebak Target Baru
Panggilan palsu terasa meyakinkan karena setiap tile peserta menampilkan rekaman webcam yang dicuri, headshot yang dibuat AI, atau video komposit deepfake, diambil dari pustaka lebih dari 100 korban sebelumnya di 20 negara. Penyelidik menautkan wajah sintetis tersebut ke model GPT-4o milik OpenAI dan melacak proses pengeditannya ke satu operator yang meninggalkan nama pengguna macOS "king" di metadata. Setiap wajah yang dicuri kemudian dipakai sebagai umpan berikutnya, sehingga setiap pelanggaran membuat serangan setelahnya makin sulit dideteksi.
Amerika Serikat menyumbang 41% dari korban yang teridentifikasi, disusul Singapura dan Inggris. Sekitar 80% bekerja di bidang kripto, keuangan blockchain, atau peran investasi terkait, dan pendiri atau chief executive menyumbang hampir setengahnya.
BlueNoroff bukan pemain baru dalam ranah ini. Grup tersebut pertama kali muncul pada perampokan Bank Bangladesh tahun 2016, ketika mereka memindahkan $81 juta, lalu beralih ke kripto melalui operasi SnatchCrypto yang sudah berjalan lama. Kampanye kali ini menunjukkan bahwa playbook yang sama kini dijalankan dengan AI, menaikkan standar bagi setiap tim kripto yang mencoba mempertahankan diri.
Baca Selanjutnya: AAVE Ungguli Bitcoin Saat Narasi Pemberian Pinjaman DeFi Menguat Kembali