Kuzey Kore bağlantılı BlueNoroff hackerları, sahte Zoom görüşmeleri ve yapay zekâ derin sahtekârlıkları (deepfake) kullanarak bir kripto şirketini ihlal etti ve dünya genelinde 100’den fazla Web3 yöneticisini riske attı.
Öne Çıkan Noktalar
- BlueNoroff, kendini bir fintech avukatı gibi göstererek kurcalanmış bir takvim daveti gönderdi ve hedefi sahte bir Zoom görüşmesine yönlendirdi.
- Bir ClickFix pano hilesi, beş dakikadan kısa sürede kimlik bilgilerini ve kripto cüzdanı verilerini ele geçiren dosyasız PowerShell komutları çalıştırdı.
- Çalınan web kamerası görüntüleri, yapay zekâ ile üretilen deepfake’lere dönüştürülerek sonraki hedefleri kandırmak için önceki kurbanların taklidinde kullanıldı.
BlueNoroff, Zoom Görüşmelerini Ele Geçirerek Cüzdanları Boşaltıyor
Arctic Wolf araştırmacıları, aylar süren bu sızmayı, Kuzey Kore’nin finansal çıkar amaçlı kolu Lazarus Group içinde yer alan BlueNoroff’a kadar izledi. Kampanya, 23 Ocak 2026’da Kuzey Amerika merkezli bir Web3 şirketini vurdu ve operatörler 66 gün boyunca sessizce erişimi elinde tuttu. Saldırgan, kendini bir fintech şirketinde hukuk yöneticisi olarak tanıtarak, beş ay sonrasına planlanmış rutin bir görüşme için Calendly üzerinden bir davet gönderdi.
Hedef onay verdikten sonra rezervasyon, içindeki Google Meet bağlantısını neredeyse gerçeğiyle aynı görünen, ancak typo-squatting yöntemiyle kaydedilmiş bir Zoom adresiyle değiştirdi. Telemetri verileri, kurbanın dört dakika içinde hatalı bağlantıya üç kez tıkladığını ve sorunun yalnızca yazılımdaki bir aksaklık olduğunu düşündüğünü gösterdi.
Ayrıca Oku: Fed Faiz Endişeleri Kriptoya Dönerken Bitcoin 59 Bin Doların Altına Geriledi
ClickFix Uyarısı Dosyasız PowerShell Yerleştiriyor
Sahte toplantının içinde, bir açılır pencere Zoom SDK’sının güncellenmesi gerektiğini iddia etti ve hızlı bir çözüm sundu; bu hile, ClickFix olarak biliniyor. Kurban, verilen komutları kopyaladığında, sayfa panoyu sessizce yeniden yazarak gizli bir PowerShell yükünü enjekte etti. Tek bir yapıştırma işlemiyle, herhangi bir dosya diske yazılmadan saldırgana ilk erişim noktası sağlandı.
Ardından implant, uzak bir sunucuya işaret (beacon) göndererek tarayıcı oturum açma bilgilerini ve kripto cüzdanı verilerini topladı ve aktif Telegram oturumlarını ele geçirerek daha sonra güvenilir hesaplar üzerinden yeni hedeflere yaklaşmak için kullandı. İlk tıklamadan sistemin tam olarak ele geçirilmesine kadar tüm zincir beş dakikadan kısa sürede tamamlandı; bu olağanüstü hızlı bir ele geçirme olarak değerlendiriliyor.
Deepfake’ler, Yeni Hedefleri Avlamak İçin Kurbanları Yeniden Kullanıyor
Sahte görüşmeler bu kadar inandırıcı görünüyordu çünkü her katılımcı kutucuğunda, 20’den fazla ülkedeki 100’den fazla önceki kurbandan derlenen bir arşivden alınmış, çalıntı web kamerası görüntüleri, yapay zekâ ile üretilmiş yüzler veya derleme deepfake videolar gösteriliyordu. Soruşturma, sentetik yüzleri OpenAI’ın GPT-4o modeline bağladı ve düzenleme işlemini, meta verilerde bıraktığı macOS kullanıcı adı “king” ile tespit edilen tek bir operatöre kadar takip etti. Her çalınan yüz, bir sonraki oltanın malzemesi hâline geldi; böylece her ihlal, bir sonrakini tespit etmeyi daha da zorlaştırdı.
Tespit edilen kurbanların %41’ini Amerika Birleşik Devletleri oluştururken, onu Singapur ve Birleşik Krallık izledi. Yaklaşık %80’i kripto, blokzincir finansı veya yakın yatırım rolleri üzerinde çalışıyordu ve kurucular ile CEO’lar neredeyse yarısını oluşturuyordu.
BlueNoroff bu alanda yeni değil. Grup, 2016 Bangladeş Merkez Bankası soygununda ortaya çıktı ve 81 milyon doların aktarılmasını sağladı; ardından uzun soluklu SnatchCrypto operasyonuyla kriptoya yöneldi. Bu kampanya, aynı oyun kitabının artık yapay zekâ ile çalıştığını göstererek, kendini savunmaya çalışan her kripto ekibi için çıtayı yükseltiyor.
Sıradaki Yazı: DeFi Borç Verme Hikâyesi Geri Dönerken AAVE, Bitcoin’i Geride Bıraktı