Die Kampagne zeigt ein hohes technisches Maß an Raffinesse und sozialer Manipulation. Typischerweise beginnt der Angriff mit einer gefälschten Nachricht über einen kompromittierten Telegram-Account oder eine manipulierte Calendly-Einladung. Das Opfer wird vorgespiegelt, sich mit einem vermeintlichen Legal-Officer einer international renommierten Kanzlei oder einem VC-Partner treffen zu sollen. In einem dokumentierten Fall wurde ein US-amerikanischer Web3-Executive monatelang im Voraus durch eine Calendly-Einladung geködert, die erst später in einen manipulierten Zoom-Link mit Tippfehlern umgewandelt wurde.
Wenn das Opfer den Link anklickt, gelangt es auf eine HTML-Seite, die eine echte Zoom-Konferenz-Lobby täuschend echt nachahmt — komplett mit täuschenden Teilnehmer-Avataren und voraufgezeichneten Video-Clips. Sobald das Opfer Kamera- und Mikrophonzugriff gewährt, beginnt der Angreifer, den Webcam-Feed in Echtzeit abzugreifen.
Die kritische Phase folgt sekunden später: Der Opfer erhält eine ClickFix-Benachrichtigung, wonach das Zoom SDK aktualisiert werden müsse. Dieser vermeintlich harmlose Klick löst eine kaskadierende Sequenz aus, bei der mehrere Malware-Payloads installiert werden — darunter Module für Persistenz, Command-and-Control, Credential-Harvesting und den Diebstahl von Kryptowallet-Daten sowie Telegram-Sitzungen. Arctic Wolf beobachtete, dass die gesamte Kompromittierung vom initialen Klick bis zur vollständigen Systemübernahme weniger als fünf Minuten dauerte. In einem untersuchten Fall hielt BlueNoroff 66 Tage lang Zugriff auf das System.
Arctic Wolf analysierte über 950 Dateien von den Medienservern der Angreifer und identifizierte drei Typen gefälschter Meeting-Teilnehmer: Webcam-Aufnahmen von früheren Opfern, KI-generierte Fotos und Deepfake-Composite-Videos, die KI-generierte Gesichter mit echten Körperbewegungen kombinieren.
Die Infrastruktur der Angreifer ist beeindruckend: BlueNoroff registrierte allein bei einem Hosting-Provider über 80 Typo-Squatting-Domains für Zoom und Teams, mit kontinuierlichen Neuzugängen. Die Menge der auf VirusTotal beobachteten Payload-URLs zeigt, dass dies keine isolierte Operation, sondern eine anhaltende, koordinierte Kampagne gegen mehrere Organisationen gleichzeitig ist.
Für deutsche Unternehmen sind mehrere Schutzmaßnahmen essentiell: Meeting-Anfragen sollten über sekundäre Kanäle verifiziert werden, Kalender-Links auf Manipulation überprüft und die Ausführung von Befehlen während Calls vermieden werden. IT-Sicherheitsteams sollten Webcam- und Mikrophonzugriff auf vertrauenswürdige Domains beschränken und nach Clipboard-Missbrauch, PowerShell-Aktivitäten und unbefugten Zugriffen auf Browser-Credentials überwachen.