Hacker BlueNoroff của Triều Tiên đã dùng các cuộc gọi Zoom giả và deepfake AI để xâm nhập một công ty crypto và x compromising hơn 100 lãnh đạo Web3 trên toàn cầu.
Điểm chính
- BlueNoroff giả làm luật sư fintech, gửi lời mời lịch đã bị chỉnh sửa và dẫn nạn nhân vào cuộc gọi Zoom giả mạo.
- Mánh ClickFix với clipboard chạy PowerShell không file, chiếm quyền thông tin đăng nhập và dữ liệu ví crypto trong chưa đầy năm phút.
- Đoạn webcam bị đánh cắp được dùng để tạo deepfake AI, giả làm nạn nhân cũ nhằm dụ lứa mục tiêu tiếp theo.
BlueNoroff chiếm đoạt cuộc gọi Zoom để rút ví
Các nhà nghiên cứu tại Arctic Wolf đã truy vết cuộc xâm nhập kéo dài nhiều tháng này tới BlueNoroff, một nhánh kiếm tiền của Lazarus Group Triều Tiên. Chiến dịch tấn công một công ty Web3 Bắc Mỹ vào ngày 23/1/2026, và kẻ vận hành âm thầm duy trì truy cập suốt 66 ngày. Giả mạo làm một lãnh đạo pháp lý tại công ty fintech, kẻ tấn công đã gửi lời mời Calendly cho một cuộc gọi trao đổi định kỳ được hẹn trước tới năm tháng.
Sau khi mục tiêu xác nhận, cuộc hẹn đã thay liên kết Google Meet bằng một địa chỉ Zoom typo-squatted trông hầu như y hệt liên kết thật. Dữ liệu telemetry sau đó cho thấy nạn nhân bấm vào liên kết độc ba lần trong bốn phút, tin rằng phần mềm chỉ đang bị lỗi.
Đọc thêm: Bitcoin rơi dưới 59.000 USD khi lo ngại lãi suất Fed quay lại với crypto
Mồi ClickFix cài PowerShell không file
Bên trong cuộc họp giả, một cửa sổ bật lên báo rằng Zoom SDK cần cập nhật và đưa ra “sửa lỗi nhanh”, một chiêu được gọi là ClickFix. Khi nạn nhân sao chép lệnh được cung cấp, trang này âm thầm ghi đè clipboard và tiêm một payload PowerShell ẩn. Chỉ với một lần dán đó, kẻ tấn công đã có chỗ đứng mà không cần bất kỳ file nào ghi xuống đĩa.
Implant sau đó beacon tới máy chủ từ xa, thu thập đăng nhập trình duyệt và dữ liệu ví crypto, đồng thời trích xuất các phiên Telegram đang hoạt động rồi dùng lại để tiếp cận mục tiêu mới từ các tài khoản tưởng như đáng tin cậy. Từ cú click đầu tiên tới khi hệ thống bị chiếm hoàn toàn, toàn bộ chuỗi chỉ mất chưa đầy năm phút, tốc độ hiếm thấy.
Deepfake tái chế nạn nhân để bẫy mục tiêu mới
Các cuộc gọi giả trở nên thuyết phục vì mỗi khung hình người tham gia đều hiển thị cảnh quay webcam bị đánh cắp, ảnh chân dung tạo bởi AI, hoặc video deepfake tổng hợp, được lấy từ thư viện hơn 100 nạn nhân trước đó tại 20 quốc gia. Điều tra viên liên kết các gương mặt tổng hợp này với mô hình GPT-4o của OpenAI và truy vết công đoạn chỉnh sửa tới một kẻ vận hành để lại tên người dùng macOS "king" trong metadata. Mỗi khuôn mặt bị đánh cắp lại trở thành mồi cho lượt tấn công tiếp theo, khiến mỗi sự cố mới càng khó phát hiện hơn.
Hoa Kỳ chiếm 41% số nạn nhân đã xác định, tiếp theo là Singapore và Vương quốc Anh. Khoảng 80% làm việc trong lĩnh vực crypto, tài chính blockchain, hoặc các vai trò đầu tư liên quan; nhà sáng lập và CEO chiếm gần một nửa.
BlueNoroff không phải lính mới trong trò này. Nhóm lần đầu xuất hiện trong vụ cướp Ngân hàng Bangladesh năm 2016, khi chuyển 81 triệu USD, rồi chuyển sang crypto thông qua chiến dịch SnatchCrypto kéo dài nhiều năm. Chiến dịch hiện tại cho thấy cùng “giáo án” đó nay đã chạy bằng AI, nâng mức độ nguy hiểm mà mọi đội crypto phải đối mặt.
Đọc tiếp: AAVE vượt trội Bitcoin khi câu chuyện cho vay DeFi trở lại