Einen der untersuchten Vorfälle schildert Arctic Wolf im Detail: Betroffen war eine Führungskraft eines US-amerikanischen Web3-Kryptounternehmens. Der Angriff begann damit, dass sich ein BlueNoroff-Akteur als Leiter der Rechtsabteilung einer international tätigen Beratungs- und Anwaltskanzlei aus dem Fintech- und Krypto-Bereich ausgab und dem Ziel eine Calendly-Einladung schickte. Das vorgebliche Gespräch wurde im vergangenen Spätsommer für fünf Monate später angesetzt. Bestätigte das Opfer den Termin, entstand eine Google-Meet-Einladung, die die Angreifer anschließend heimlich veränderten und durch eine getarnte, per Tippfehler verschleierte Zoom-URL ersetzten.
„Aus Sicht des Ziels beginnt der Angriff als legitime Geschäftsinteraktion, häufig über ein kompromittiertes Telegram-Konto, eine Calendly-Einladung oder einen Kalender-Workflow, der einen vertrauenswürdigen Kontakt imitiert – etwa einen Juristen, einen VC-Partner oder einen Branchenkollegen", sagt Ismael Valenzuela, VP of Labs, Threat Research and Intelligence bei Arctic Wolf. Der Vorwand sei ein Routinetreffen.
Als das Opfer im Verlauf der Kampagne auf den Link klickte, landete es auf einer HTML-Seite, die überzeugend eine Zoom-Lobby nachahmte – samt erfundener Teilnehmer-Avatare und vorab aufgezeichneter Clips, die ein laufendes Meeting vortäuschten. Sobald das Opfer Mikrofon- und Kamerazugriff gewährte, begannen die Angreifer im Hintergrund, den Webcam-Feed in Echtzeit für künftige Angriffe abzugreifen.
Im Meeting bewegten sich die Teilnehmerkacheln, doch es gab kein echtes Gespräch, und der Ton schien meist nicht zu funktionieren. Wenige Sekunden später erhielt das Opfer – angeblich zur Behebung des Audioproblems – eine sogenannte ClickFix-Aufforderung, das Zoom-SDK müsse aktualisiert werden. Befolgte das Opfer die Anweisungen, löste dies im Hintergrund eine Kette von Aktionen aus, an deren Ende mehrere Schadprogramme installiert wurden – für dauerhaften Zugriff, Command-and-Control, das Abgreifen von Zugangsdaten, den Diebstahl aus Krypto-Wallets sowie den Diebstahl von Telegram-Sitzungen.
Laut Arctic Wolf verging vom ersten Klick bis zur vollständigen Kompromittierung weniger als fünf Minuten. Im untersuchten Fall hielt BlueNoroff den Zugang über 66 Tage aufrecht.
Im Zentrum der Kampagne steht eine „selbstverstärkende Deepfake-Produktionspipeline", die exfiltriertes Webcam-Material früherer Opfer mit KI-generierten Bildern kombiniert. Arctic Wolf analysierte mehr als 950 Dateien vom Medien-Hosting-Server der Angreifer und identifizierte drei Arten gefälschter Teilnehmer: gestohlenes Videomaterial früherer Opfer, KI-generierte Standbilder sowie Deepfake-Kompositvideos, die KI-Gesichter mit echten Körperbewegungen verbinden.
Die Infrastruktur sei umfangreich und aktiv, so Arctic Wolf. Allein bei einem einzigen Hosting-Anbieter habe BlueNoroff über 80 per Tippfehler verschleierte Zoom- und Teams-Domains registriert, laufend kämen neue hinzu. Die Vielzahl unterschiedlicher Auslieferungs-URLs auf VirusTotal belege eine anhaltende, parallel gegen mehrere Organisationen gerichtete Kampagne.
Valenzuela rät, Meeting-Anfragen über einen zweiten Kanal zu verifizieren, Kalenderlinks auf Manipulation zu prüfen und während eines Calls keine Befehle auszuführen. Sicherheitsteams sollten den Webcam- und Mikrofonzugriff auf vertrauenswürdige Domains beschränken und auf Zwischenablage-Missbrauch, PowerShell-Aktivität und unbefugte Zugriffe auf im Browser gespeicherte Zugangsdaten achten.