Cinque minuti. È il tempo che basta al gruppo nordcoreano BlueNoroff per passare dal primo click della vittima alla compromissione completa del sistema, al furto delle credenziali e all’accesso persistente. La nuova campagna del braccio finanziario del Lazarus Group porta l’ingegneria sociale a un livello inedito: falsi colleghi in riunione Zoom, volti generati da ChatGPT e un meccanismo di produzione dei deepfake che si auto-alimenta a partire dai filmati rubati alle vittime stesse.
BlueNoroff: il braccio finanziario di Pyongyang
BlueNoroff è un sottogruppo del più ampio Lazarus Group, l’infrastruttura di cyberspionaggio e cybercrime sponsorizzata dallo Stato nordcoreano. A differenza delle operazioni di intelligence pura condotte da altri cluster del gruppo, BlueNoroff ha una missione dichiaratamente finanziaria: generare valuta estera per aggirare le sanzioni internazionali che colpiscono il regime di Pyongyang. Il settore delle criptovalute è il bersaglio preferito: le transazioni blockchain sono irreversibili, i fondi rubati possono essere riciclati attraverso mixer e swap decentralizzati, e le aziende del settore Web3 spesso dispongono di misure di sicurezza meno mature rispetto agli istituti finanziari tradizionali.
Negli anni, BlueNoroff ha sottratto miliardi di dollari in criptovalute finanziando il programma missilistico e nucleare della Corea del Nord. Secondo le stime dell’ONU, il gruppo è responsabile di circa 3 miliardi di dollari rubati tra il 2017 e il 2023. La campagna analizzata da Arctic Wolf rappresenta la loro evoluzione più sofisticata fino ad oggi.
La catena dell’attacco: dall’invito Calendly alla backdoor
L’attacco documentato da Arctic Wolf Labs è iniziato il 23 gennaio 2026 presso una società nordamericana operante nel settore delle criptovalute. La vittima ha ricevuto un invito apparentemente legittimo tramite Calendly per una riunione strategica con “investitori” interessati al progetto. Il link alla riunione era un dominio typosquatted che imitava l’interfaccia ufficiale di Zoom.
Al click sul link, la vittima veniva presentata con una schermata di caricamento Zoom che in realtà eseguiva due operazioni in parallelo. La prima era l’esfiltrazione del feed webcam: il browser avviava una richiesta di accesso alla fotocamera con una motivazione plausibile (“verifica audio/video pre-riunione”), catturando il video in diretta e trasmettendolo ai server degli attaccanti per alimentare future produzioni deepfake. La seconda era un attacco ClickFix: un prompt convinceva la vittima a copiare e incollare un comando PowerShell nella console di sistema, presentato come una “correzione tecnica” per problemi di connessione. Il payload PowerShell operava interamente in memoria (fileless), scaricando ed eseguendo un backdoor senza toccare il disco.
L’intera sequenza di post-exploitation — dall’esecuzione del payload alla compromissione completa, furto di credenziali e installazione di accesso persistente — si è completata in meno di cinque minuti.
La pipeline dei deepfake: una macchina che si autoalimenta
L’aspetto più innovativo e inquietante della campagna è la catena di produzione dei contenuti deepfake. L’analisi di oltre 950 file presenti sui server di hosting degli attaccanti ha rivelato un processo industrializzato. Gli attaccanti usano ChatGPT/GPT-4o per produrre immagini di persone inesistenti ma credibili. I movimenti naturali (gesticolazione, spostamenti della testa) vengono prelevati da screen recording effettuati su macchine virtuali Windows, simulando il comportamento di un partecipante reale in videochiamata. I due elementi vengono poi combinati con Adobe Premiere Pro 2021 ed esportati tramite FFmpeg, producendo video convincenti.
La caratteristica più inquietante è il ciclo auto-rinforzante: i filmati webcam sottratti alle vittime precedenti vengono integrati come nuovi materiali di source, creando un loop in cui ogni attacco riuscito migliora la qualità e la credibilità di quelli futuri. I ricercatori hanno identificato oltre 950 file sul server degli attaccanti, documentando questa pipeline produttiva su scala semi-industriale.
Infrastruttura, targeting e TTPs
L’analisi dell’infrastruttura ha rivelato oltre 80 domini typosquatted che imitano Zoom e Microsoft Teams, registrati sulla stessa infrastruttura tra la fine del 2025 e marzo 2026. I target identificati si concentrano per l’80% nel settore crypto/blockchain/Web3, con CEO e fondatori che costituiscono il 45% dei bersagli. Il malware impiegato è una variante di backdoor macOS — BlueNoroff ha storicamente mostrato preferenza per i sistemi Apple, comuni negli ambienti startup tech — con capacità di furto di credenziali browser (cookie, password, token OAuth), esfiltrazione di seed phrase e file di configurazione dei wallet crypto, accesso persistente tramite LaunchAgent, e keylogging con screenshot periodici.
Indicatori di Compromissione (IoC)
# Domini typosquatted identificati (campione)
zoom-meet[.]pro
zoom-meetings[.]app
zoomus[.]live
teams-video[.]call
meet-zoom[.]io
# Pattern PowerShell ClickFix (offuscamento tipico)
powershell -enc [Base64_payload] -NoP -NonI -W Hidden -Exec Bypass
# LaunchAgent persistence path (macOS)
~/Library/LaunchAgents/com.zoom.helper.plist
~/Library/Application Support/.zoomd/
# Hash noti (campione — suscettibili di variazione per campagna)
SHA256: 4a7f3c9e1d2b8f0a6e5c3d1b9a7f2e4c (dropper macOS)
SHA256: 8b3d9f1c4e7a2b5d0c8f3e9a1b4d7c2f (backdoor persistente)Consigli per i Difensori
La campagna di BlueNoroff evidenzia come l’ingegneria sociale stia evolvendo in modo da rendere obsolete le tradizionali difese basate sulla consapevolezza degli utenti. Qualsiasi invito a riunioni video da contatti non noti deve essere verificato attraverso un canale separato (telefono, email aziendale diretta) prima di cliccare sul link. È fondamentale bloccare l’esecuzione di comandi PowerShell avviati dall’utente tramite policy GPO o EDR, sensibilizzando i team sulla natura degli attacchi ClickFix. Su macOS, strumenti come osquery o soluzioni EDR compatibili possono rilevare la creazione di LaunchAgent sospetti in tempo reale. I seed phrase non devono mai essere archiviati in chiaro sul filesystem: gli hardware wallet fisici restano la protezione più efficace per gli asset di alto valore.
La velocità di compromissione documentata — meno di cinque minuti — suggerisce che i playbook di risposta agli incidenti devono intervenire in finestre temporali molto strette. Per le organizzazioni Web3 che gestiscono asset significativi, investire in soluzioni EDR con visibilità macOS non è più opzionale: è una necessità operativa.