北朝鮮のBlueNoroffハッカーは、偽のZoom通話とAIディープフェイクを使って暗号資産企業を侵害し、世界中の100人以上のWeb3経営幹部を危殆化させた。
重要ポイント
- BlueNoroffはフィンテック企業の弁護士になりすまし、改ざんしたカレンダー招待を送り、標的を偽のZoom通話へ誘導した。
- ClickFixによるクリップボードトリックでファイルレスのPowerShellを実行し、5分足らずで認証情報と暗号資産ウォレットのデータを奪取した。
- 盗まれたウェブカメラ映像をAIディープフェイクに利用し、過去の被害者になりすまして次の標的をおびき寄せた。
BlueNoroffがZoom通話を乗っ取りウォレットを空に
Arctic Wolfの研究者は、数カ月にわたる侵入を北朝鮮のLazarus Groupの金銭目的部門であるBlueNoroffに追跡した。このキャンペーンは2026年1月23日に北米のWeb3企業を攻撃し、オペレーターは66日間も静かにアクセスを維持していた。フィンテック企業の法務責任者になりすました攻撃者は、5カ月後に予定された定例のキャッチアップ通話のためにCalendlyの招待を送信した。
標的が参加を確定すると、予約はGoogle Meetのリンクを、正規のものとほとんど見分けがつかないタイポスクワッティングされたZoomアドレスにすり替えた。テレメトリによると、被害者はソフトが不調だと信じ込み、4分間で悪意あるリンクを3回クリックしていた。
こちらも参照: ビットコインが5.9万ドル割れ、FRB利上げ懸念がクリプト市場に再燃
ClickFixプロンプトでファイルレスPowerShellを植え付け
偽の会議内で、Zoom SDKの更新が必要だとするポップアップが表示され、簡単な修正と称する手順が示された。これはClickFixとして知られる手口だ。被害者が提示されたコマンドをコピーすると、ページは背後でクリップボードを書き換え、隠されたPowerShellペイロードを注入した。この1回のペーストだけで、ディスクに一切ファイルを落とすことなく、攻撃者に足がかりを与えてしまった。
そのインプラントはリモートサーバーにビーコンを送り、ブラウザのログイン情報や暗号資産ウォレットのデータを収集し、さらにアクティブなTelegramセッションを抜き取り、信頼されたアカウントから新たな標的へ接触するために再利用した。最初のクリックからシステム全面侵害まで、全行程は5分未満という異常な速さだった。
ディープフェイクで被害者を再利用し新たな標的を釣る
偽の通話がもっともらしく見えたのは、各参加者タイルに、盗まれたウェブカメラ映像、AI生成の顔写真、あるいは複数を合成したディープフェイク動画が表示されていたからだ。これらは20カ国にまたがる100人超の過去の被害者から収集されたライブラリから引き出されていた。調査員は、この合成顔をOpenAIのGPT-4oモデルに結びつけ、編集作業を行ったオペレーターがメタデータにmacOSユーザー名「king」を残していたことも突き止めた。盗まれた顔は次のルアーに転用され、侵害のたびに次の攻撃が見抜きにくくなっていく構図だ。
特定された被害者のうち、米国が41%を占め、次いでシンガポールと英国が続いた。約80%が暗号資産、ブロックチェーン金融、周辺の投資分野で働いており、創業者やCEOクラスがほぼ半数を占めた。
BlueNoroffはこの分野では古株だ。同グループは2016年のバングラデシュ中央銀行ハッキングで姿を現し、8100万ドルを動かした後、長期にわたるSnatchCrypto作戦を通じて暗号資産へと軸足を移した。今回のキャンペーンは、同じプレイブックが今やAIで強化されていることを示しており、防御を試みるすべての暗号資産チームにとってハードルを一段と高めている。