I criminali informatici nordcoreani hanno eseguito un cambiamento strategico nelle loro campagne di social engineering. Hanno rubato più di 300 milioni di dollari impersonando figure fidate del settore in finte riunioni video.
L’avvertimento, spiegato in dettaglio dalla ricercatrice sulla sicurezza di MetaMask Taylor Monahan (nota come Tayvano), descrive una sofisticata “truffa a lungo termine” rivolta agli executive del settore crypto.
SponsoredCome i falsi meeting della Corea del Nord stanno svuotando i wallet crypto
Secondo Monahan, la campagna si discosta dagli ultimi attacchi che si basavano su deepfake AI.
Questa volta, invece, viene adottato un approccio più semplice basato su account Telegram compromessi e video riciclati da vere interviste.
L’attacco inizia solitamente dopo che gli hacker prendono il controllo di un account Telegram di fiducia, spesso appartenente a un venture capitalist o a qualcuno che la vittima ha già incontrato a una conferenza.
Poi, i criminali sfruttano la cronologia delle chat già esistente per apparire legittimi, indirizzando la vittima a una videochiamata Zoom o Microsoft Teams tramite un link Calendly mascherato.
Quando la riunione inizia, la vittima vede quello che sembra essere un video in diretta del proprio contatto. In realtà, spesso si tratta di una registrazione riciclata da un podcast o da un’apparizione pubblica.
Il momento decisivo segue di solito un problema tecnico creato ad arte.
Dopo aver menzionato problemi audio o video, l’attaccante invita la vittima a ristabilire la connessione scaricando uno script specifico o aggiornando un software development kit (SDK). Il file fornito in quel momento contiene il payload dannoso.
Una volta installato, il malware—spesso un Remote Access Trojan (RAT)—garantisce all’aggressore il pieno controllo.
Questo svuota i wallet di criptovalute e ruba dati sensibili, inclusi i protocolli di sicurezza interni e i token di sessione Telegram, che vengono poi usati per colpire la prossima vittima all’interno della rete.
Considerando tutto ciò, Monahan ha avvertito che questo vettore specifico arma la cortesia professionale.
Gli hacker fanno leva sulla pressione psicologica di un “incontro d’affari” per indurre un errore di giudizio e trasformare una comune richiesta di assistenza tecnica in una grave falla di sicurezza.
Per chi opera nel settore, qualsiasi richiesta di scaricare software durante una chiamata va ora considerata come attacco attivo.
Nel frattempo, questa strategia delle “finte riunioni” fa parte di un’azione offensiva più ampia da parte di gruppi legati alla Repubblica Democratica Popolare di Corea (DPRK). Nell’ultimo anno, hanno sottratto una stima di 2 miliardi di dollari al settore, incluso il caso Bybit.
