Noord-Korea's BlueNoroff-hackers gebruikten nep-Zoom-gesprekken en AI-deepfakes om in te breken bij een cryptobedrijf en meer dan 100 Web3-executives wereldwijd te compromitteren.
Kernpunten
- BlueNoroff deed zich voor als een fintech-advocaat, stuurde een gemanipuleerde agenda-uitnodiging en leidde het doelwit naar een vervalste Zoom-call.
- Een ClickFix-klembordtruc draaide fileless PowerShell die binnen vijf minuten inloggegevens en cryptowallet-data buitmaakte.
- Gestolen webcambeelden voedden AI-deepfakes die eerdere slachtoffers imiteerden om de volgende reeks doelwitten te lokken.
BlueNoroff kaapt Zoom-calls om wallets leeg te trekken
Onderzoekers van Arctic Wolf traced de maandenlange inbraak naar BlueNoroff, een financieel gedreven tak van Noord-Korea's Lazarus Group. De campagne trof op 23 januari 2026 een Noord-Amerikaans Web3-bedrijf, waarna de aanvallers 66 dagen onopgemerkt toegang behielden. De aanvaller deed zich voor als juridisch directeur bij een fintechbedrijf en sent een Calendly-uitnodiging voor een routinematige catch-up-call die vijf maanden vooruit stond ingepland.
Nadat het doelwit bevestigde, werd de Google Meet-link in de boeking omgewisseld voor een typosquatted Zoom-adres dat bijna identiek leek op de echte link. Telemetrie liet later zien dat het slachtoffer drie keer in vier minuten op de foute link klikte, in de veronderstelling dat de software simpelweg haperde.
Ook lezen: Bitcoin zakt onder $59K nu rentevrees van de Fed terugkeert in crypto
ClickFix-prompt plaatst fileless PowerShell
Binnen de vervalste meeting verscheen een pop-up met de melding dat de Zoom-SDK een update nodig had, met een snelle oplossing erbij: een truc die bekendstaat als ClickFix. Wanneer het slachtoffer de aangeleverde commando's kopieerde, rewrote de pagina in stilte het klembord en injecteerde een verborgen PowerShell-payload. Die ene plakactie gaf de aanvaller een voet tussen de deur zonder dat er ook maar een bestand op schijf werd opgeslagen.
De implant maakte vervolgens verbinding met een externe server, verzamelde browserlogins en cryptowallet-data, en lifted actieve Telegram-sessies, die later opnieuw werden gebruikt om nieuwe doelwitten vanuit vertrouwde accounts te benaderen. Van de eerste klik tot volledige systeemcompromittering duurde de hele keten minder dan vijf minuten, een ongewoon snelle aanval.
Deepfakes recyclen slachtoffers om nieuwe doelwitten te strikken
De nepgesprekken voelden overtuigend omdat elke deelnemerstegel showed gestolen webcambeelden, AI-gegenereerde portretten of deepfake-composietvideo's toonde, afkomstig uit een bibliotheek van meer dan 100 eerdere slachtoffers in 20 landen. Onderzoekers koppelden de synthetische gezichten aan het GPT-4o-model van OpenAI en herleidden de bewerking naar één operator die de macOS-gebruikersnaam "king" in de metadata achterliet. Elk gestolen gezicht voedde vervolgens de volgende lokactie, waardoor elke inbraak de daaropvolgende aanval moeilijker herkenbaar maakte.
De Verenigde Staten waren goed voor 41% van de geïdentificeerde slachtoffers, gevolgd door Singapore en het Verenigd Koninkrijk. Ongeveer 80% werkte in crypto, blockchain-financiën of aanpalende investeringsfuncties, en oprichters of CEO's vormden bijna de helft.
BlueNoroff is geen nieuwkomer in dit speelveld. De groep surfaced tijdens de Bangladesh Bank-overval in 2016, waarbij $81 miljoen werd verplaatst, en stapte daarna over op crypto via de langlopende SnatchCrypto-operatie. Deze campagne laat zien dat hetzelfde draaiboek nu door AI wordt aangedreven, wat de lat verhoogt voor elk cryptoteam dat zich probeert te verdedigen.
Lees ook: AAVE presteert beter dan Bitcoin nu DeFi-leningsnarratief terugkeert