Gli hacker BlueNoroff della Corea del Nord hanno usato finte chiamate Zoom e deepfake basati su IA per violare una società crypto e compromettere più di 100 dirigenti Web3 in tutto il mondo.
Punti chiave
- BlueNoroff si è spacciato per un avvocato fintech, ha inviato un invito a calendario manomesso e ha indirizzato il bersaglio verso una falsa chiamata Zoom.
- Un trucco ClickFix sulla clipboard ha eseguito PowerShell fileless che ha catturato credenziali e dati dei wallet crypto in meno di cinque minuti.
- Filmati rubati dalla webcam hanno alimentato deepfake IA che impersonavano vittime precedenti per adescare il giro successivo di bersagli.
BlueNoroff dirotta le chiamate Zoom per prosciugare i wallet
I ricercatori di Arctic Wolf hanno ricondotto l’intrusione durata mesi a BlueNoroff, un ramo a fini finanziari del Lazarus Group della Corea del Nord. La campagna ha colpito un’azienda Web3 nordamericana il 23 gennaio 2026 e gli operatori hanno mantenuto l’accesso silenziosamente per 66 giorni. Spacciandosi per un dirigente legale di una società fintech, l’attaccante ha inviato un invito Calendly per una normale chiamata di aggiornamento programmata cinque mesi dopo.
Dopo la conferma del bersaglio, la prenotazione ha sostituito il link Google Meet con un indirizzo Zoom typo-squatted che sembrava quasi identico a quello reale. La telemetria ha poi mostrato la vittima cliccare sul link malevolo tre volte in quattro minuti, convinta che il software stesse semplicemente avendo un problema.
Vedi anche: Bitcoin scende sotto 59.000 $ mentre i timori sui tassi Fed tornano sulle crypto
Il prompt ClickFix impianta PowerShell fileless
All’interno della riunione contraffatta, un pop‑up sosteneva che l’SDK di Zoom dovesse essere aggiornato e offriva una correzione rapida, un espediente noto come ClickFix. Quando la vittima ha copiato i comandi forniti, la pagina ha riscritto silenziosamente la clipboard e iniettato un payload PowerShell nascosto. Quell’unica operazione di incolla ha consegnato all’attaccante un punto d’appoggio senza che alcun file toccasse mai il disco.
L’impianto ha quindi comunicato con un server remoto, raccogliendo login del browser e dati dei wallet crypto, e ha estratto sessioni Telegram attive che sono state poi riutilizzate per contattare nuovi bersagli da account considerati affidabili. Dal primo clic alla completa compromissione del sistema, l’intera catena si è svolta in meno di cinque minuti, una compromissione insolitamente rapida.
I deepfake riciclano le vittime per catturare nuovi bersagli
Le finte chiamate risultavano convincenti perché ogni riquadro dei partecipanti mostrava filmati rubati dalla webcam, headshot generati dall’IA o video compositi deepfake, estratti da una libreria di oltre 100 vittime precedenti in 20 paesi. Gli investigatori hanno collegato i volti sintetici al modello GPT‑4o di OpenAI e hanno ricondotto il montaggio a un operatore che aveva lasciato il nome utente macOS "king" nei metadati. Ogni volto rubato alimentava poi l’adescamento successivo, così ogni violazione rendeva l’attacco seguente più difficile da individuare.
Gli Stati Uniti rappresentavano il 41% degli identificati, con Singapore e Regno Unito a seguire. Circa l’80% lavorava in ambito crypto, finanza blockchain o ruoli di investimento affini, e fondatori o amministratori delegati costituivano quasi la metà.
BlueNoroff non è un nuovo arrivato in questo campo. Il gruppo è emerso durante la rapina alla Banca del Bangladesh del 2016, quando ha spostato 81 milioni di dollari, per poi passare alle crypto con la sua lunga operazione SnatchCrypto. Questa campagna mostra che lo stesso playbook ora gira sull’IA, alzando l’asticella per ogni team crypto che cerca di difendersi.
Leggi dopo: AAVE sovraperforma Bitcoin mentre torna la narrativa del lending DeFi