BlueNoroff, fałszywy Zoom i ClickFix. Jak phishing uderza w firmy krypto

2026-04-28

TL;DR

BlueNoroff, grupa powiązana z Koreą Północną i szerzej z ekosystemem Lazarus, wykorzystuje coraz bardziej dopracowane kampanie przeciw sektorowi Web3 i krypto. Najnowszy przypadek opisany przez Arctic Wolf pokazuje fałszywe zaproszenia na spotkania, podszyte domeny Zoom, zmanipulowane linki z Calendly, technikę ClickFix, PowerShell uruchamiany bez klasycznego pliku malware i materiały phishing tworzone przy wspierciu AI.

To nie jest zwykły phishing z linkiem do fałszywego logowania. To pełny proces biznesowy zamieniony w atak: kontakt, zaproszenie, spotkanie, problem techniczny, instrukcja naprawy i dopiero potem kompromitacja.

##BlueNorOff i dlaczego sektor krypto jest celem

BlueNoroff jest zwykle opisywany jako finansowo motywowana część szerszego ekosystemu Lazarus, czyli grup powiązanych z Koreą Północną. W źródłach anglojęzycznych często pojawia się skrót DPRK. To oficjalna angielska nazwa Korei Północnej: Democratic People’s Republic of Korea.

Ten kontekst ma znaczenie. Według Chainalysis w 2025 roku hakerzy powiązani z Koreą Północną ukradli co najmniej 2,02 mld dolarów w kryptowalutach. To tłumaczy, dlaczego sektor Web3, giełdy, fundusze, projekty blockchain i osoby decyzyjne w firmach krypto pozostają dla takich grup tak atrakcyjnym celem.

Web3 to szerokie określenie projektów opartych na blockchainie, kryptowalutach, smart kontraktach, portfelach cyfrowych i zdecentralizowanych aplikacjach. Dla atakujących to nie jest abstrakcyjna technologia. To środowisko, w którym pojedyncza osoba może mieć dostęp do portfeli, multisig, seedów, infrastruktury transakcyjnej, repozytoriów albo decyzji inwestycyjnych.

O co chodzi w tej kampanii

Według Arctic Wolf kampania rozpoczęła się od ukierunkowanego ataku na północnoamerykańską firmę z sektora Web3 i kryptowalut. Napastnicy podszywali się pod wiarygodną osobę z obszaru fintech i prawa, a następnie wykorzystali zmanipulowane zaproszenie Calendly.

Calendly to popularne narzędzie do umawiania spotkań. W normalnej pracy pozwala szybko wybrać termin rozmowy i automatycznie dodać ją do kalendarza. W tej kampanii właśnie ta zwyczajność była częścią przynęty. Ofiara widziała coś, co pasowało do codziennego rytmu biznesu: kontakt, termin, link do spotkania.

Problem zaczynał się dalej. Link prowadził do domeny z literówką, która udawała Zoom. To klasyczny typosquatting, czyli rejestrowanie adresów bardzo podobnych do prawdziwych. Różnica w domenie bywa minimalna, ale skutki mogą być poważne.

Po kliknięciu ofiara trafiała do fałszywego interfejsu spotkania. Strona wyglądała jak normalne spotkanie online, ale służyła do czegoś zupełnie innego: budowała zaufanie, prosiła o dostęp do kamery i mikrofonu, a potem uruchamiała scenariusz ClickFix.

Jak wygląda atak krok po kroku

Ten przypadek najlepiej zrozumieć jako sekwencję, nie jako pojedynczy link.

Najpierw atakujący nawiązuje kontakt i podszywa się pod osobę, która pasuje do kontekstu branżowego. Potem pojawia się zaproszenie przez Calendly. Następnie ofiara dostaje link do spotkania, który wygląda jak Zoom albo Teams, ale prowadzi do podszytej domeny.

Po wejściu na stronę użytkownik widzi fałszywy interfejs spotkania. Strona może prosić o dostęp do kamery i mikrofonu. Potem pojawia się problem techniczny, na przykład z dźwiękiem albo dołączeniem do rozmowy. Ofiara dostaje instrukcję naprawy i zostaje nakłoniona do skopiowania oraz uruchomienia komendy.

Właśnie tu zaczyna się ClickFix. Człowiek wykonuje techniczny krok, bo wierzy, że naprawia spotkanie. W praktyce uruchamia kod, który prowadzi do dalszej infekcji, między innymi przez PowerShell.

PowerShell to legalne narzędzie administracyjne w systemie Windows. Administratorzy używają go do zarządzania systemem i automatyzacji zadań. Atakujący lubią go z tego samego powodu: pozwala wykonywać polecenia szybko i bez konieczności dostarczania klasycznego pliku malware. Gdy kod działa głównie w pamięci, mówi się o podejściu fileless, czyli bezplikowym. Nie znaczy to, że atak jest niewidzialny, ale utrudnia prostą detekcję opartą wyłącznie na plikach zapisanych na dysku.

ClickFix, czyli fałszywa naprawa problemu

ClickFix wykorzystuje frustrację użytkownika i jego chęć szybkiego rozwiązania problemu. Strona udaje, że coś nie działa: dźwięk, kamera, klient spotkania, dostęp do rozmowy albo konfiguracja systemu. Następnie pokazuje instrukcję, która wygląda jak procedura naprawcza.

Dla zwykłego użytkownika taka instrukcja może brzmieć nietypowo, ale nie zawsze od razu groźnie. Zwłaszcza jeśli rozmowa jest pilna, druga strona czeka, a spotkanie dotyczy inwestycji, rekrutacji, partnerstwa albo ważnego projektu.

Dla napastnika to idealny moment. Zamiast liczyć na to, że ofiara otworzy załącznik z malware, przenosi część wykonania na człowieka. To użytkownik sam kopiuje i uruchamia polecenie, bo wierzy, że rozwiązuje problem techniczny.

W kampanii BlueNoroff ten mechanizm prowadził do kolejnych etapów, w tym uruchomienia PowerShell i kradzieży danych z urządzenia.

Fałszywe spotkanie jako środowisko ataku

Najciekawsze w tej kampanii jest to, że spotkanie online staje się pełnym środowiskiem socjotechniki. To nie jest tylko link. To nie jest tylko ekran logowania. To sytuacja, która wygląda jak normalna czynność zawodowa.

W sektorze Web3 i krypto rozmowy inwestycyjne, due diligence, konsultacje prawne, rozmowy z funduszami i spotkania partnerskie są codziennością. Jeżeli ktoś dostaje zaproszenie od osoby wyglądającej wiarygodnie, przez Calendly, z linkiem do Zooma, jego czujność może być niższa niż przy typowym mailu z załącznikiem.

To bardzo podobna logika do tej, którą opisujemy w materiale Korea Północna, AI i phishing na developerów. Tam przynętą była fałszywa rekrutacja i zadanie techniczne. Tutaj przynętą jest spotkanie biznesowe. W obu przypadkach phishing nie wygląda jak phishing. Wygląda jak praca.

Kamera ofiary jako paliwo dla kolejnych oszustw

Arctic Wolf wskazuje, że fałszywy interfejs spotkania prosił o dostęp do kamery i mikrofonu, a przechwycone materiały mogły zasilać kolejne przynęty. Badacze opisali analizę ponad 950 plików z serwera hostującego media atakujących. Wśród nich znajdowały się nagrania z kamer wcześniejszych ofiar, obrazy generowane przez AI oraz materiały wykorzystywane do budowy kolejnych fałszywych spotkań.

To szczególnie groźny fragment tej kampanii. Jedna ofiara nie tylko traci bezpieczeństwo własnego urządzenia. Może nieświadomie stać się materiałem uwiarygadniającym następne oszustwo.

Tak powstaje samonapędzająca się pętla. Im więcej osób wejdzie na fałszywe spotkanie i udostępni kamerę, tym bardziej wiarygodne mogą być kolejne przynęty.

AI nie zastępuje socjotechniki, tylko ją wzmacnia

W tej kampanii AI nie jest sprawcą całego ataku. Lepiej patrzeć na nią jak na narzędzie produkcyjne. Pomaga szybciej tworzyć materiały wizualne, fałszywe elementy spotkań, obrazy, scenariusze i warianty przynęt.

Arctic Wolf opisuje fałszywe spotkania budowane z połączenia skradzionych nagrań, obrazów generowanych przez AI i materiałów deepfake. Deepfake oznacza materiał audio lub wideo, który imituje prawdziwą osobę albo tworzy realistycznie wyglądającą sytuację z użyciem technik sztucznej inteligencji.

To nie oznacza, że AI wymyśla całą psychologię ataku. Psychologia jest stara: zaufanie, pośpiech, autorytet i chęć rozwiązania problemu technicznego. AI skraca czas przygotowania materiałów i pozwala szybciej powielać to, co działa.

Dobrze łączy się to z naszym tekstem AI nie stworzyła phishingu. Uczyniła go domyślną metodą wejścia. BlueNoroff jest praktycznym przykładem tej tezy.

BlueNoroff nie celuje przypadkowo

Według Arctic Wolf około 80 procent zidentyfikowanych celów działało w sektorze kryptowalut, blockchain finance albo powiązanych obszarach inwestycyjnych. CEO i founderzy stanowili 45 procent zestawu celów. To nie jest masowy spam. To kampania wymierzona w ludzi, którzy mogą mieć realny wpływ na aktywa, decyzje i infrastrukturę.

Pasuje to do wcześniejszego obrazu BlueNoroff. Kaspersky opisywał kampanie GhostCall i GhostHire, w których grupa atakowała osoby z branży Web3 przez fałszywe spotkania inwestycyjne, Telegram, phishingowe strony przypominające Zoom albo Teams oraz złośliwe zadania rekrutacyjne.

Wspólny rdzeń jest ten sam: najpierw relacja i zaufanie, potem techniczny problem, na końcu malware albo kradzież dostępu.

Dlaczego ten model jest trudny do obrony

Ten atak łączy kilka elementów, które osobno mogą nie wyglądać ekstremalnie podejrzanie. Zaproszenie Calendly. Link do spotkania. Problem z kamerą albo dostępem. Instrukcja techniczna. Krótkie polecenie do wykonania. Strona podobna do Zooma. Rozmowa z osobą, która pasuje do kontekstu biznesowego.

Dopiero całość tworzy pełny łańcuch kompromitacji. Dlatego obrona nie może opierać się tylko na jednym sygnale. Sam link może wyglądać przekonująco. Samo spotkanie może wyglądać naturalnie. Sama instrukcja może brzmieć jak pomoc techniczna. Problem zaczyna się wtedy, gdy użytkownik przechodzi przez kilka kroków bez zatrzymania.

To dobrze pokazuje, dlaczego w firmach nie wystarcza szkolenie typu nie klikaj w podejrzane linki. Potrzebne są scenariusze, które uczą rozpoznawania całych sekwencji: spotkanie, błąd, instrukcja, kopiowanie komendy, uruchomienie narzędzia, prośba o dostęp.

Co to oznacza dla firm krypto i Web3

Dla firm z sektora Web3 ten temat jest szczególnie ważny, bo celem nie są wyłącznie systemy. Celem są ludzie, którzy mają dostęp do portfeli, multisig, infrastruktury transakcyjnej, seedów, środowisk developerskich, repozytoriów i decyzji inwestycyjnych.

Multisig to mechanizm, w którym transakcja wymaga podpisu kilku osób lub kluczy. Seed to fraza odzyskiwania portfela kryptowalutowego. Dla atakującego dostęp do takich elementów może być wart znacznie więcej niż zwykłe konto pocztowe.

W praktyce oznacza to, że tradycyjne rozdzielenie na bezpieczeństwo IT i bezpieczeństwo biznesu przestaje działać. Spotkanie inwestycyjne, rozmowa z funduszem, konsultacja prawna albo rozmowa rekrutacyjna mogą stać się początkiem incydentu.

Dlatego szczególnie ważne są zasady dotyczące spotkań z zewnętrznymi osobami. Nie należy uruchamiać komend z instrukcji na stronie spotkania. Nie należy instalować klienta Zoom albo Teams z linku otrzymanego od nieznanej osoby. Nie należy zgadzać się na nietypowe obejścia, jeśli spotkanie nie działa. Warto też wymagać, aby osoby wysokiego ryzyka używały osobnych, utwardzonych środowisk do pracy z aktywami i osobnych urządzeń do spotkań zewnętrznych.

Co to oznacza dla firm spoza krypto

Chociaż BlueNoroff koncentruje się na sektorze Web3 i kryptowalut, sam mechanizm można przenieść na inne branże. Fałszywe spotkanie może dotyczyć fuzji i przejęcia, przetargu, partnerstwa, audytu, rozmowy rekrutacyjnej, projektu IT albo konsultacji prawnej.

To oznacza, że scenariusz powinien interesować również firmy technologiczne, software house’y, fundusze, kancelarie, doradców, dostawców usług IT i organizacje, które prowadzą dużo rozmów zewnętrznych. Jeżeli pracownicy są przyzwyczajeni do szybkiego dołączania do spotkań i instalowania brakujących komponentów, ryzyko rośnie.

Warto połączyć ten temat z szerszym podejściem opisanym we wpisie Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza. Obrona przed phishingiem nie może kończyć się na poczcie, skoro atak coraz częściej przenosi się na kalendarz, komunikatory, spotkania i narzędzia współpracy.

Co powinno zapalić lampkę ostrzegawczą

Pierwszy sygnał ostrzegawczy to spotkanie, które wymaga obejścia standardowej ścieżki. Jeśli strona twierdzi, że Zoom nie działa i każe wykonać polecenie w systemie, to nie jest zwykły problem techniczny. Jeśli rozmówca nalega na szybką naprawę i podsyła instrukcję, trzeba przerwać proces.

Drugi sygnał to domena podobna do znanej usługi, ale nie identyczna. Arctic Wolf wskazuje, że infrastruktura obejmowała ponad 80 domen podszywających się pod Zoom i Teams, rejestrowanych na tej samej infrastrukturze od końca 2025 do marca 2026. To typowy typosquatting i jeden z najprostszych sposobów nadania fałszywej stronie pozorów wiarygodności.

Trzeci sygnał to relacja, która przez dłuższy czas buduje zaufanie, a potem nagle prowadzi do bardzo technicznej czynności. W opisywanym przypadku łańcuch ataku rozpoczął się około pięć miesięcy po pierwszym kontakcie z główną ofiarą, ale sama kompromitacja po kliknięciu w fałszywe spotkanie postępowała bardzo szybko, od pierwszego kliknięcia do pełnego przejęcia w mniej niż pięć minut.

Co firmy powinny zrobić praktycznie

Po pierwsze, warto dopisać fałszywe spotkania do scenariuszy awareness. Pracownicy powinni rozumieć, że phishing może przyjść nie tylko jako mail, ale też jako zaproszenie w kalendarzu, link do spotkania, wiadomość na Telegramie albo kontakt z rzekomym inwestorem.

Po drugie, trzeba blokować albo ostrzegać przed domenami podobnymi do Zoom, Teams, Google Meet i innych narzędzi używanych w firmie. Sama literówka w domenie może być początkiem incydentu.

Po trzecie, organizacja powinna ograniczyć możliwość uruchamiania komend z poziomu zwykłego użytkownika, szczególnie na stacjach osób mających dostęp do aktywów, repozytoriów albo systemów finansowych.

Po czwarte, warto monitorować PowerShell, nietypowe użycie schowka, nowe procesy uruchomione po wejściu na stronę spotkania oraz próby pobierania kolejnych komponentów. W kampaniach typu ClickFix ważne jest nie tylko to, kto kliknął link, ale też czy po kliknięciu pojawiło się nietypowe wykonanie komendy.

Po piąte, osoby wysokiego ryzyka powinny mieć osobne procedury dla rozmów inwestycyjnych, rekrutacyjnych i partnerskich. Im wyższa wartość aktywów, tym mniej miejsca na improwizację.

Najważniejsza lekcja z kampanii BlueNoroff

BlueNoroff pokazuje, jak daleko przesunął się phishing. Nie chodzi już tylko o wiadomość z linkiem. Chodzi o cały proces biznesowy, który wygląda wiarygodnie: kontakt, zaproszenie, spotkanie, problem techniczny, instrukcja naprawy i dopiero potem kompromitacja.

Najprostsza zasada dla użytkownika jest bardzo konkretna: jeśli po wejściu na spotkanie ktoś prosi o wykonanie technicznej instrukcji w systemie, trzeba przerwać proces. Prawdziwy Zoom, Teams czy Meet nie powinien wymagać ręcznego kopiowania komend do systemu, żeby naprawić dostęp do rozmowy.

Dla firm Web3 i krypto to szczególnie ważne, ale scenariusz ma znaczenie znacznie szerzej. Phishing coraz częściej wchodzi tam, gdzie wcześniej widzieliśmy zwykłą pracę: w kalendarz, rekrutację, spotkanie, projekt i rozmowę z partnerem.

Jeżeli chcesz sprawdzić, czy pracownicy wychwycą taki scenariusz zanim wykonają niebezpieczny krok, dobrym początkiem jest quiz phishingowy PHISHLY.