🔍 Contexte

Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto.

🎭 Vecteur initial : ingénierie sociale sophistiquée

L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026.

💻 Chaîne d’exécution (< 5 minutes)

Stage 1 – Leurre HTML / fausse réunion :

  • Page HTML autonome (~900 KB) reproduisant fidèlement l’interface Zoom ou Teams
  • Capture de la webcam via getUserMedia et exfiltration en temps réel vers le C2
  • Fingerprinting OS via navigator.userAgent
  • Attaque ClickFix : 8 secondes après l’entrée dans la fausse réunion, un overlay annonce un “SDK deprecated” et injecte silencieusement un cradle PowerShell dans le presse-papiers

Stage 2 – Downloader PowerShell obfusqué :

  • Obfuscation Base64 + XOR clé 0x43
  • Téléchargement du Stage 3 vers %TEMP%\chromechip.log
  • Affichage d’une boîte de dialogue “Zoom was updated successfully” pour fermer la boucle sociale

Stage 3 – Implant C2 PowerShell in-memory (chromechip.log) :

  • Beacon toutes les 5 secondes vers 83[.]136[.]208[.]246:6783
  • Collecte : hostname, username, OS, processus, droits admin, proxy, détection VM
  • Exécution arbitraire de PowerShell via Invoke-Expression

📦 Post-exploitation

  • Vol de sessions Telegram Desktop (key_datas + artefacts de session) → exfiltration vers 104[.]145[.]210[.]107:8444
  • Énumération des logiciels installés via registre Windows → CSV exfiltré
  • Vol de fichiers navigateurs (Chrome, Edge, Brave, Opera) : Login Data, Cookies, History, extensions crypto
  • Injection de shellcode dans les processus Chromium (network.mojom) via OpenProcess → VirtualAllocEx → WriteProcessMemory → CreateRemoteThread avec payload AES-256-CBC chiffré
  • Stage B – Stealer natif PE64 : extraction des credentials via COM IElevator (bypass app-bound encryption Chrome 127+), AES-256-GCM, SQLite
  • Persistance : LNK dans le dossier Startup (Chrome Update – Certificated.lnk) + bootstrap chrome-debug-data001.log → accès maintenu 66 jours
  • Capture d’écran méthode 1 : HTTP POST vers check02id[.]com:7365
  • Capture d’écran méthode 2 (ajoutée le 25 février 2026) : Telegram Bot API (window_manager_bot, token hardcodé)
  • Bypass UAC via COM Elevation Moniker (comBypassUacDLL.x64.dll)

🤖 Pipeline deepfake et réutilisation des victimes

L’infrastructure de l’attaquant hébergeait 950+ fichiers constituant une bibliothèque de médias :

  • Type 1 : vidéos webcam réelles de victimes précédentes (exfiltrées via getUserMedia)
  • Type 2 : portraits IA générés avec ChatGPT/GPT-4o (confirmés par manifestes C2PA)
  • Type 3 : vidéos deepfake composites (face IA + motion capture via Adobe Premiere Pro 2021 + FFmpeg)

L’opérateur (username king) travaille sur macOS 15.5 (MacBookPro18,1) avec une VM Windows 10 sous VMware pour les enregistrements. Activité concentrée entre 08h00–18h00 KST, lundi–vendredi.

🎯 Victimologie (100 cibles identifiées)

  • 80% dans crypto/blockchain ou finance adjacente
  • 45% CEO/Fondateurs, 76% en C-suite ou direction senior
  • Distribution géographique : USA (41%), Singapour (11%), Royaume-Uni (7%), 20+ pays
  • Secteurs : crypto/DeFi/exchanges (54%), VC/finance (26%), IA/Tech (8%)

🏗️ Infrastructure

  • C2 principal : 83[.]136[.]208[.]246:6783 (AS400897, Petrosky Cloud LLC)
  • Livraison payload : 83[.]136[.]209[.]22:8444
  • Exfiltration : 104[.]145[.]210[.]107:8444 (AS398256, Ultrahost)
  • Certificat auto-signé WIN-33SPJA5NN31 pivot sur 621 IPs
  • Domaines typosquattés enregistrés entre fin 2025 et mars 2026

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Arctic Wolf Labs, documentant l’intégralité du cycle d’attaque d’une campagne BlueNoroff active, avec pour objectif de fournir des IOCs, TTPs et signatures de détection exploitables à la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.001 — Phishing: Spearphishing Link (Initial Access)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1113 — Screen Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
  • T1102.002 — Web Service: Bidirectional Communication (Command and Control)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1564.003 — Hide Artifacts: Hidden Window (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1518 — Software Discovery (Discovery)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1185 — Browser Session Hijacking (Collection)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)

IOC

  • IPv4 : 83.136.208.246AbuseIPDB · VT · ThreatFox
  • IPv4 : 83.136.209.22AbuseIPDB · VT · ThreatFox
  • IPv4 : 104.145.210.107AbuseIPDB · VT · ThreatFox
  • IPv4 : 188.227.197.32AbuseIPDB · VT · ThreatFox
  • Domaines : uu03webzoom.usVT · URLhaus · ThreatFox
  • Domaines : uu01webzoom.usVT · URLhaus · ThreatFox
  • Domaines : teams.livesmeet.usVT · URLhaus · ThreatFox
  • Domaines : teams.livesmeets.usVT · URLhaus · ThreatFox
  • Domaines : zoom.ue01web.usVT · URLhaus · ThreatFox
  • Domaines : zoom.un01web.usVT · URLhaus · ThreatFox
  • Domaines : pd.uc05web.usVT · URLhaus · ThreatFox
  • Domaines : check02id.comVT · URLhaus · ThreatFox
  • Domaines : thriddata.comVT · URLhaus · ThreatFox
  • Domaines : web01zoom.comVT · URLhaus · ThreatFox
  • Domaines : support.teams-live.orgVT · URLhaus · ThreatFox
  • Domaines : teams-live.orgVT · URLhaus · ThreatFox
  • Domaines : ms-live.comVT · URLhaus · ThreatFox
  • Domaines : teams-live.usVT · URLhaus · ThreatFox
  • Domaines : gmeet.camVT · URLhaus · ThreatFox
  • Domaines : gmeet.us.comVT · URLhaus · ThreatFox
  • Domaines : recaptcha.workVT · URLhaus · ThreatFox
  • Domaines : smart-meeting.onlineVT · URLhaus · ThreatFox
  • Domaines : uxlink.mslive.usVT · URLhaus · ThreatFox
  • Domaines : nubit.teams-live.orgVT · URLhaus · ThreatFox
  • Domaines : bitlayer.teams-meet.usVT · URLhaus · ThreatFox
  • URLs : https://uu03webzoom.us/developer/sdk/update/version/URLhaus
  • URLs : https://uu03webzoom.us/developer/sdk/fix/2/version/Ivo55HpFmURLhaus
  • URLs : https://83.136.209.22:8444/download?id=8766ceb975cadedca38aad72091017cdb5d3e4c8f8af0441URLhaus
  • URLs : https://83.136.209.22:8444/uploadURLhaus
  • URLs : https://104.145.210.107:8444/uploadURLhaus
  • URLs : http://check02id.com:7365/helloURLhaus
  • URLs : https://api.telegram.org/bot8446140951:AAExeAepUZQAegP0A9IQbp__JB4xDaq4ohc/sendPhotoURLhaus
  • SHA256 : 17158cd6490a2b3c672d087f3d69107643d6a6f7c67345461b10ae18f27e28d1VT · MalwareBazaar
  • SHA256 : db446f0e1d18b43805bfefe1af934ae4b0879e376904635cc7e14eae2d7fc682VT · MalwareBazaar
  • SHA256 : 6030338469819129924c6e01e110145a128ca3d944cd4b696abc7925a1840001VT · MalwareBazaar
  • SHA256 : a37cb38b178833f15bf13fd5fa622b694c2244230ac0be33e75680c71dc08a08VT · MalwareBazaar
  • SHA256 : edd0301ffb793169b1314c59c0ef3a98d5793c0441dd43a7c484d61deb4f107fVT · MalwareBazaar
  • SHA256 : dd1c72823f933952619cbb86aaeaea43057a259e9a0c9e3b11c82225ec3faaa1VT · MalwareBazaar
  • Fichiers : chromechip.log
  • Fichiers : chrome-debug-data001.log
  • Fichiers : Chrome Update – Certificated.lnk
  • Fichiers : comBypassUacDLL.x64.dll
  • Fichiers : khjx0fvf.dll
  • Fichiers : pfx4cshy.dll
  • Fichiers : log.ini
  • Fichiers : pchr.csv
  • Fichiers : pmse.csv
  • Fichiers : pbra.csv
  • Fichiers : target.prproj
  • Fichiers : test.prproj
  • Fichiers : morph.jpg
  • Fichiers : morph.mp4
  • Fichiers : fingerprint.json
  • Chemins : %TEMP%\chromechip.log
  • Chemins : %USERPROFILE%\chrome-debug-data001.log
  • Chemins : %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Chrome Update – Certificated.lnk
  • Chemins : %TEMP%\ext_<username>.zip
  • Chemins : %TEMP%\cps_<username>.zip
  • Chemins : C:\Users\Public\log.ini
  • Chemins : C:\Users\Public\pchr.csv
  • Chemins : C:\Users\Public\pmse.csv
  • Chemins : C:\Users\Public\pbra.csv

Malware / Outils

  • DownTroy (backdoor)
  • PowerShell C2 implant (chromechip.log) (rat)
  • Donut Loader (loader)
  • Chromium Browser Credential Stealer (Stage B) (stealer)
  • comBypassUacDLL.x64.dll (tool)
  • Telegram Bot screenshot exfiltrator (window_manager_bot) (tool)
  • ClickFix clipboard injector (tool)
  • FFmpeg (tool)
  • Adobe Premiere Pro (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ arcticwolf.com — source reconnue (Rösti community) (20pts)
  • ✅ 90112 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 62 IOCs dont des hashes (15pts)
  • ✅ 5/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 25 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : BlueNoroff, Lazarus Group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 83.136.208.246 (ip) → VT (13/91 détections)
  • 83.136.209.22 (ip) → VT (10/91 détections)
  • 104.145.210.107 (ip) → VT (13/91 détections)
  • uu03webzoom.us (domain) → VT (17/91 détections)
  • uu01webzoom.us (domain) → VT (15/91 détections)

🔗 Source originale : https://arcticwolf.com/resources/blog/bluenoroff-uses-clickfix-fileless-powershell-and-ai-generated-zoom-meetings-to-target-web3-sector/