Peretas yang dikaitkan dengan Korea Utara menggunakan panggilan Zoom palsu untuk menguras dompet crypto dalam apa yang oleh para peneliti keamanan disebut sebagai ancaman yang hampir sehari-hari bagi komunitas cryptocurrency. Menurut beberapa laporan keamanan, kampanye ini telah meraup sekitar $300 juta dana yang dicuri dan menunjukkan sedikit tanda-tanda melambat.
Rapat Zoom Palsu Digunakan Untuk Menguras Dompet
Menurut Security Alliance (SEAL) dan peneliti lainnya, penyerang pertama kali menghubungi target melalui aplikasi perpesanan seperti Telegram. Mereka kemudian mengundang korban ke panggilan video yang terlihat sah.
Selama panggilan, para penipu mengklaim ada masalah dengan suara atau video dan menawarkan "perbaikan" — sebuah file atau tautan yang tampaknya merupakan pembaruan resmi. Ketika korban menjalankan file tersebut, malware terinstal dan mulai mencuri kredensial, data browser, dan kunci crypto.
Beberapa serangan dilaporkan setiap hari, dan banyak yang mengikuti pola yang sama. Para peneliti mengatakan panggilan yang dipentaskan ini memungkinkan penyerang melewati kewaspadaan normal karena orang cenderung mempercayai seseorang yang mereka lihat di kamera.
SEAL melacak beberapa upaya HARIAN oleh aktor Korea Utara yang menggunakan taktik "Zoom Palsu" untuk menyebarkan malware serta meningkatkan akses mereka ke korban baru.
Rekayasa sosial adalah akar dari serangan. Baca utas di bawah untuk petunjuk tentang cara tetap aman. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 13 Desember 2025
NimDoor, Strain Malware Lain Menargetkan macOS Dan Dompet
Berdasarkan laporan, satu strain yang terkait dengan skema ini adalah NimDoor, backdoor macOS yang dapat mengumpulkan item keychain, kata sandi yang disimpan browser, dan data perpesanan.
Tim keamanan menghubungkan NimDoor dan alat terkait ke BlueNoroff, sebuah grup yang terhubung dengan jaringan Lazarus Group. BlueNoroff memiliki catatan panjang menyerang perusahaan dan bursa crypto.
Begitu malware terpasang, dompet dapat dikosongkan dalam hitungan menit. Korban sering kali menemukan pencurian hanya setelah melihat transaksi keluar di blockchain.
Deepfake Dan Undangan Kalender Membuat Scam Lebih Meyakinkan
Para peneliti memperingatkan bahwa penyerang tidak hanya menggunakan nama palsu. Mereka juga menggunakan alat video dan suara deepfake berbantuan AI untuk menyamar sebagai eksekutif atau kontak yang dikenal.
Penyerang terkadang mengirim undangan kalender yang terlihat seperti permintaan rapat asli dari platform seperti Calendly, mengarahkan target ke tautan Zoom yang dikendalikan penyerang.
Tingkat rekayasa sosial membuat panggilan terlihat mendesak dan resmi, yang mengurangi waktu yang diambil korban untuk mempertanyakan apa yang diminta untuk diinstal.
Penyerang Menargetkan Individu Dan Perusahaan Kecil Sama Saja
Laporan telah mengungkapkan bahwa korban termasuk trader individu, karyawan startup, dan tim kecil di perusahaan crypto. Kerugian terkonsentrasi tetapi tersebar luas, dengan perkiraan sekitar $300.000.000.
Beberapa korban kehilangan dana yang terkait dengan dompet browser dan dompet panas (hot wallets); lainnya memiliki frasa pemulihan yang direkam dan digunakan untuk menguras akun.
Tim keamanan mendesak tindakan cepat ketika pembaruan mencurigakan ditawarkan selama sesi remote: Mereka memperingatkan untuk tidak menjalankannya, verifikasi secara terpisah, dan perlakukan perbaikan rapat yang tidak diminta sebagai berisiko tinggi.
Gambar unggulan dari Unsplash, grafik dari TradingView
