Gli hacker nordcoreani di BlueNoroff hanno usato finte chiamate Zoom e deepfake basati su IA per violare una società crypto e compromettere oltre 100 dirigenti Web3 nel mondo.
Punti chiave
- BlueNoroff si è spacciato per un avvocato fintech, ha inviato un invito calendario manomesso e ha indirizzato il bersaglio in una finta chiamata Zoom.
- Un trucco ClickFix sulla clipboard ha eseguito PowerShell fileless che ha catturato credenziali e dati dei wallet crypto in meno di cinque minuti.
- Filmati rubati dalle webcam hanno alimentato deepfake IA che impersonavano vittime precedenti per adescare il turno successivo di bersagli.
BlueNoroff dirotta le chiamate Zoom per prosciugare i wallet
I ricercatori di Arctic Wolf hanno tracciato l’intrusione durata mesi a BlueNoroff, una cellula a scopo finanziario del Lazarus Group nordcoreano. La campagna ha colpito una società Web3 nordamericana il 23 gennaio 2026, e gli operatori hanno mantenuto l’accesso in silenzio per 66 giorni. Spacciandosi per un dirigente legale di un’azienda fintech, l’attaccante ha inviato un invito Calendly per una normale chiamata di aggiornamento programmata cinque mesi dopo.
Dopo la conferma del bersaglio, la prenotazione ha sostituito il link Google Meet con un indirizzo Zoom typo-squatted che sembrava quasi identico a quello reale. La telemetria ha poi mostrato la vittima cliccare il link malevolo tre volte in quattro minuti, convinta che il software stesse solo dando problemi.
Vedi anche: Bitcoin scende sotto i 59.000 $ mentre i timori sui tassi Fed tornano nel crypto
Il prompt ClickFix impianta PowerShell fileless
All’interno della riunione contraffatta, un popup sosteneva che fosse necessario aggiornare l’SDK di Zoom e offriva una correzione rapida, un trucco noto come ClickFix. Quando la vittima ha copiato i comandi forniti, la pagina ha riscritto in silenzio la clipboard e ha iniettato un payload PowerShell nascosto. Quel singolo incolla ha consegnato all’attaccante un punto d’appoggio senza che alcun file toccasse mai il disco.
L’impianto quindi si è collegato a un server remoto, raccogliendo credenziali dei browser e dati dei wallet crypto, e ha estratto sessioni Telegram attive che sono state poi riutilizzate per avvicinare nuovi bersagli da account considerati affidabili. Dal primo clic alla compromissione completa del sistema, l’intera catena si è svolta in meno di cinque minuti, una velocità di compromissione insolitamente alta.
I deepfake riciclano le vittime per catturare nuovi bersagli
Le finte chiamate risultavano convincenti perché ogni riquadro dei partecipanti mostrava filmati rubati dalla webcam, headshot generati dall’IA o video compositi deepfake, prelevati da una libreria di oltre 100 vittime precedenti in 20 paesi. Gli investigatori hanno collegato i volti sintetici al modello GPT-4o di OpenAI e hanno ricondotto il montaggio a un operatore che ha lasciato il nome utente macOS "king" nei metadati. Ogni volto rubato alimentava poi la successiva esca, così che ogni violazione rendeva l’attacco seguente più difficile da individuare.
Gli Stati Uniti rappresentavano il 41% degli identificati, seguiti da Singapore e Regno Unito. Circa l’80% lavorava in crypto, finanza blockchain o ruoli di investimento affini, e fondatori o amministratori delegati costituivano quasi la metà.
BlueNoroff non è nuovo a questo mestiere. Il gruppo è emerso durante il colpo alla Banca del Bangladesh del 2016, quando spostò 81 milioni di dollari, per poi passare al crypto tramite la sua lunga operazione SnatchCrypto. Questa campagna mostra che lo stesso copione ora gira sull’IA, alzando l’asticella per ogni team crypto che cerca di difendersi.