Noord-Korea's BlueNoroff-hackers gebruikten valse Zoom-gesprekken en AI-deepfakes om in te breken bij een cryptobedrijf en meer dan 100 Web3-bestuurders wereldwijd te compromitteren.
Belangrijkste punten
- BlueNoroff deed zich voor als fintech-advocaat, stuurde een gemanipuleerde agenda-uitnodiging en loodste het doelwit naar een nagemaakt Zoom-gesprek.
- Een ClickFix-klembordtruc startte fileless PowerShell die in minder dan vijf minuten inloggegevens en cryptowallet-data buitmaakten.
- Gestolen webcambeelden voedden AI-deepfakes die eerdere slachtoffers nabootsten om de volgende reeks doelwitten te lokken.
BlueNoroff kaapt Zoom-gesprekken om wallets leeg te trekken
Onderzoekers van Arctic Wolf traced de maandenlange inbraak naar BlueNoroff, een financieel gedreven tak van Noord-Korea's Lazarus Group. De campagne trof op 23 januari 2026 een Noord-Amerikaans Web3-bedrijf en de aanvallers hielden 66 dagen onopgemerkt toegang. De aanvaller deed zich voor als juridisch bestuurder bij een fintechbedrijf en sent een Calendly-uitnodiging voor een routine-overleg dat vijf maanden vooruit stond gepland.
Nadat het doelwit bevestigde, verving de boeking de Google Meet-link door een typo-gesquat adres van Zoom dat bijna identiek leek aan de echte link. Telemetrie liet later zien dat het slachtoffer drie keer in vier minuten op de foute link klikte, overtuigd dat de software gewoon haperde.
Ook lezen: Bitcoin zakt onder $59K nu rentevrees bij de Fed terugkeert in crypto
ClickFix-prompts planten fileless PowerShell
In de nagemaakte vergadering verscheen een pop-up die stelde dat de Zoom-SDK een update nodig had en een snelle oplossing aanbood, een truc die bekendstaat als ClickFix. Toen het slachtoffer de verstrekte commando's kopieerde, rewrote de pagina stilletjes het klembord en injecteerde een verborgen PowerShell-payload. Die ene plakactie gaf de aanvaller een ingang zonder dat er ook maar één bestand op schijf terechtkwam.
De implantaat maakte vervolgens verbinding met een externe server, verzamelde browserlogins en cryptowallet-data, en lifted actieve Telegram-sessies die later opnieuw werden gebruikt om nieuwe doelwitten te benaderen vanuit vertrouwde accounts. Van de eerste klik tot volledige systeemcompromittering duurde de hele keten minder dan vijf minuten, een ongewoon snelle inbraak.
Deepfakes recyclen slachtoffers om nieuwe doelwitten te strikken
De valse gesprekken voelden overtuigend omdat elk deelnemervakje showed gestolen webcambeelden, door AI gegenereerde portretten of deepfake-compositevideo, gehaald uit een bibliotheek van meer dan 100 eerdere slachtoffers in 20 landen. Onderzoekers koppelden de synthetische gezichten aan het GPT-4o-model van OpenAI en herleidden de bewerking tot één operator die de macOS-gebruikersnaam "king" in de metadata achterliet. Elk gestolen gezicht voedde vervolgens de volgende lokker, zodat elke inbraak de daaropvolgende aanval moeilijker te herkennen maakte.
De Verenigde Staten waren goed voor 41% van de geïdentificeerde slachtoffers, gevolgd door Singapore en het Verenigd Koninkrijk. Ongeveer 80% werkte in crypto, blockchainfinanciering of aanverwante investeringsrollen, en oprichters of CEO's maakten bijna de helft uit.
BlueNoroff is geen nieuwkomer in dit vak. De groep surfaced tijdens de Bangladesh Bank-overval in 2016, toen ze 81 miljoen dollar verschoof, en stapte daarna over op crypto via de langlopende SnatchCrypto-operatie. Deze campagne laat zien dat hetzelfde draaiboek nu op AI draait, wat de lat hoger legt voor elk cryptoteam dat zich hiertegen probeert te verdedigen.
Lees verder: AAVE presteert beter dan Bitcoin nu DeFi-lending-narratief terugkeert