朝鲜的 BlueNoroff 黑客利用伪造的 Zoom 通话和 AI 深度伪造,入侵了一家加密公司,并攻破了全球 100 多名 Web3 高管。
关键要点
- BlueNoroff 冒充金融科技律师,发送被篡改的日历邀请,将目标引导至伪造的 Zoom 通话。
- 通过 ClickFix 剪贴板技巧运行无文件 PowerShell,在五分钟内夺取凭证和加密钱包数据。
- 窃取的摄像头画面被用来生成 AI 深度伪造,伪装成既有受害者,诱骗下一轮目标。
BlueNoroff 劫持 Zoom 通话掏空钱包
Arctic Wolf 的研究人员追踪到,这场持续数月的入侵行动来自 BlueNoroff,这是一支以财务收益为动机、隶属朝鲜 Lazarus Group 的组织。该行动于 2026 年 1 月 23 日攻击了一家北美 Web3 公司,攻击者悄然维持访问长达 66 天。攻击者冒充一家金融科技公司的法务高管,发送了一封 Calendly 邀请,约定五个月后进行一次例行沟通通话。
在目标确认后,预约中的 Google Meet 链接被悄悄替换成一个“打错域名”的 Zoom 地址,看起来与真实链接几乎一模一样。遥测数据显示,受害者在四分钟内三次点击恶意链接,一直以为只是软件出了故障。
延伸阅读: 比特币跌破 5.9 万美元,美联储加息预期再度冲击加密市场
ClickFix 提示植入无文件 PowerShell
在伪造会议中,一个弹窗声称 Zoom SDK 需要更新,并给出“一键修复”的指令,这种骗局被称为 ClickFix。受害者复制页面上提供的命令时,网页会悄悄重写剪贴板,注入隐藏的 PowerShell 载荷。只需一次粘贴,攻击者就获得立足点,而无需在磁盘上落地任何文件。
植入程序随后与远程服务器通信,窃取浏览器登录信息和加密钱包数据,并转移活跃的 Telegram 会话,再利用这些被盗账号以“可信身份”接触新的目标。从首次点击到系统全面失陷,整个链条在五分钟内完成,速度异常之快。
深度伪造“循环利用”受害者,诱捕新目标
这些伪造通话之所以逼真,是因为每个与会者窗口都显示了被窃取的摄像头画面、AI 生成头像或深度伪造合成视频,素材来自 20 个国家、逾 100 名此前受害者的影像库。调查人员将这些合成面孔与 OpenAI 的 GPT-4o 模型关联起来,并在元数据中发现一名操作手留下的 macOS 用户名“king”。每一张被盗的脸都会成为下一次诱饵,使得每一次成功入侵都会让后续攻击更难被识破。
在已确认的受害者中,美国占 41%,其次是新加坡和英国。约 80% 的受害者从事加密货币、区块链金融或相关投资岗位,其中接近一半是创始人或首席执行官。
BlueNoroff 并非新玩家。早在 2016 年孟加拉央行盗案中,这个组织就曾现身,当时转移了 8100 万美元,此后又通过长期运行的 SnatchCrypto 行动转战加密货币领域。当前这轮行动表明,他们已把同一套剧本“升级到 AI 时代”,大幅提高了加密团队防御的门槛。