Kuzey Kore bağlantılı BlueNoroff hackerları, sahte Zoom görüşmeleri ve yapay zekâ ile üretilmiş deepfake’ler kullanarak bir kripto şirketini ihlal etti ve dünya çapında 100’den fazla Web3 yöneticisini hedef aldı.
Öne Çıkan Noktalar
- BlueNoroff, bir fintech avukatı gibi davranarak kurcalanmış bir takvim daveti gönderdi ve hedefi sahte bir Zoom görüşmesine yönlendirdi.
- ClickFix panoya kopyalama hilesi, beş dakikadan kısa sürede kimlik bilgilerini ve kripto cüzdanı verilerini ele geçiren dosyasız PowerShell komutları çalıştırdı.
- Çalınan webcam görüntüleri, bir sonraki tur hedefleri kandırmak için önceki kurbanları taklit eden yapay zekâ derin sahte videoları besledi.
BlueNoroff, Zoom Görüşmelerini Ele Geçirerek Cüzdanları Boşaltıyor
Arctic Wolf araştırmacıları, aylar süren sızıntının izini Kuzey Kore’nin finans odaklı Lazarus Group kolu BlueNoroff’a kadar sürdü. Kampanya, 23 Ocak 2026’da Kuzey Amerika’daki bir Web3 şirketini vurdu ve operatörler 66 gün boyunca sessizce erişimi elinde tuttu. Bir fintech şirketinde hukuk yöneticisi gibi davranan saldırgan, beş ay sonrasına planlanmış rutin bir görüşme için Calendly üzerinden davet gönderdi.
Hedef kişi daveti onayladıktan sonra, rezervasyondaki Google Meet bağlantısı, gerçeğine neredeyse tıpatıp benzeyen, yazım hatalı bir Zoom adresiyle değiştirildi. Telemetri verileri, kurbanın yazılımın sadece hata verdiğine inanarak dört dakika içinde kötü bağlantıya üç kez tıkladığını gösterdi.
Ayrıca Bkz.: Bitcoin, Fed Faiz Endişeleri Kriptoya Dönünce 59 Bin Doların Altına Geriledi
ClickFix İstemi Dosyasız PowerShell Yerleştiriyor
Sahte toplantının içinde, bir açılır pencere Zoom SDK’sının güncellenmesi gerektiğini iddia ediyor ve hızlı bir çözüm sunuyordu; bu aldatmaca ClickFix olarak biliniyor. Kurban, verilen komutları kopyaladığında sayfa panoyu sessizce yeniden yazdı ve gizli bir PowerShell yükünü enjekte etti. Bu tek yapıştırma, diske hiçbir dosya yazılmadan saldırgana bir başlangıç noktası sağladı.
Ardından implant, uzak bir sunucuya işaret vererek tarayıcı oturum açma bilgilerini ve kripto cüzdanı verilerini topladı ve aktif Telegram oturumlarını ele geçirdi; bu oturumlar daha sonra yeni hedeflere, güvenilir hesaplardan yaklaşıyormuş gibi yapmak için kullanıldı. İlk tıklamadan sistemin tamamen ele geçirilmesine kadar tüm zincir beş dakikadan kısa sürede tamamlandı; bu, olağanüstü hızlı bir ihlal süresi.
Derin Sahte Videolar, Yeni Hedefleri Kandırmak İçin Kurbanları Yeniden Kullanıyor
Sahte aramalar inandırıcı görünüyordu çünkü her katılımcı kutucuğunda, 20 ülkeden 100’den fazla önceki kurbana ait bir kütüphaneden alınmış, çalıntı webcam görüntüleri, yapay zekâ ile üretilmiş portreler veya derin sahte bileşik videolar gösteriliyordu. Araştırmacılar, sentetik yüzleri OpenAI’nin GPT-4o modeline bağladı ve düzenlemeleri, meta verilerde “king” adını bırakan tek bir macOS kullanıcısına kadar takip etti. Her çalıntı yüz, bir sonraki yem için malzeme sağladı; böylece her ihlal, bir sonrakini fark etmeyi daha da zorlaştırdı.
Tespit edilen kurbanların %41’i Amerika Birleşik Devletleri’ndeydi; onları Singapur ve Birleşik Krallık izledi. Yaklaşık %80’i kripto, blokzincir finansı veya buna yakın yatırım rollerinde çalışıyordu ve kurucular ile üst düzey yöneticiler toplamın neredeyse yarısını oluşturuyordu.
BlueNoroff bu alanda yeni değil. Grup ilk kez, 81 milyon doların kaçırıldığı 2016 Bangladeş Merkez Bankası soygunu sırasında gündeme geldi ve sonrasında uzun soluklu SnatchCrypto operasyonuyla kriptoya yöneldi. Bu kampanya, aynı oyun kitabının artık yapay zekâ ile çalıştığını göstererek, kendini savunmaya çalışan her kripto ekibi için çıtayı yükseltiyor.
Sıradaki Haber: DeFi Borç Verme Anlatısı Geri Dönerken AAVE, Bitcoin’i Geride Bıraktı