北韓的 BlueNoroff 駭客利用假冒的 Zoom 通話和 AI 深度偽造(deepfake),成功入侵一間加密公司,並且在全球範圍內攻擊、危害超過 100 名 Web3 高層主管。
重點摘要
- BlueNoroff 假扮成一名金融科技律師,發送被竄改的行事曆邀請,誘使目標進入偽造的 Zoom 通話。
- 透過 ClickFix 剪貼簿詭計執行無檔案 PowerShell,在五分鐘內奪取憑證與加密錢包資料。
- 竊得的攝影機畫面被用來打造 AI 深度偽造影像,假扮先前受害者去引誘下一輪目標。
BlueNoroff 劫持 Zoom 通話掏空錢包
Arctic Wolf 的研究人員追查數月之久的入侵活動,將其鎖定為北韓 Lazarus Group 旗下、以財務為目標的分支 BlueNoroff。這波攻擊在 2026 年 1 月 23 日鎖定一家北美 Web3 公司,攻擊者悄悄維持存取權長達 66 天。攻擊者假扮成一家金融科技公司的法務主管,發送 一封 Calendly 例行視訊會議邀請,時間設在五個月後。
受害者確認後,預約頁面便悄悄把原本的 Google Meet 連結,換成一個拼字極為相似的假 Zoom 網址,看起來幾乎與真的一樣。遙測資料顯示,受害者在四分鐘內連續點了壞連結三次,一直以為只是軟體在當機。
延伸閱讀:比特幣跌破 59,000 美元:聯準會升息疑慮再度壓頂加密市場
ClickFix 提示種下無檔案 PowerShell
在這場假會議裡,一個彈出視窗聲稱 Zoom SDK 需要更新,並提供「快速修復」,這種伎倆被稱為 ClickFix。當受害者將頁面提供的指令複製到剪貼簿時,網頁在背後悄悄地改寫剪貼簿內容,並注入隱藏的 PowerShell 載荷。只要一次貼上,攻擊者就取得了立足點,全程不需在硬碟寫入任何檔案。
這個植入程式之後向遠端伺服器回報,蒐集瀏覽器登入資訊和加密錢包資料,並竊取 目前已登入的 Telegram 工作階段,之後再用這些受信任帳號接觸新的攻擊目標。從受害者第一次點擊到系統被完全攻陷,整條攻擊鏈不到五分鐘,速度異常驚人。
深度偽造重複利用受害者套牢新目標
這些假通話之所以看起來逼真,是因為每一個與會者畫面格子都顯示 被竊的攝影機畫面、AI 生成頭像,或是深度偽造合成影片,素材來自橫跨 20 個國家、超過 100 名過往受害者的影像庫。調查人員將這些合成臉孔追溯到 OpenAI 的 GPT-4o 模型,並在其中一名操作手留下的 macOS 使用者名稱「king」中,找到編輯端線索。每一次被竊的臉孔都會成為下一次釣魚誘餌,讓每一波攻擊都比上一波更難被識破。
被識別出身分的受害者中,美國約占 41%,其次為新加坡和英國。約有 80% 的受害者從事加密貨幣、區塊鏈金融或相關投資職務,創辦人和執行長加起來接近一半。
BlueNoroff 在這條路上並非新手。這個團體在 2016 年孟加拉央行盜匯案中首次浮出檯面,當時他們轉移了 8,100 萬美元;之後又透過長期的 SnatchCrypto 行動,把重點轉向加密貨幣。這次行動顯示,舊有的攻擊劇本如今已全面搭載 AI,將防禦門檻大幅拉高,讓每一支加密團隊都更難招架。