Nordkoreanska hackare stjäl 300 USD genom falska Zoom-möten

Nordkoreanska hackare har stulit över 300 miljoner USD genom att utge sig för att vara pålitliga branschkontakter i falska Zoom- och Microsoft Teams-möten.
Angripare kapar Telegram-konton, använder återanvänt videomaterial och låtsas om tekniska problem för att lura offer att installera skadlig kod som tömmer kryptovalutor.
Därför varnar säkerhetsforskare att alla förfrågningar om att ladda ner programvara under ett direkt samtal nu bör behandlas som en aktiv attack.

Nordkoreanska cyberkriminella har ändrat sin strategi i sociala ingenjörsattacker. De har stulit mer än 300 miljoner USD genom att utge sig för att vara kända personer i fejkade videomöten.

Varningen kommer från MetaMask-säkerhetsforskaren Taylor Monahan, som kallas Tayvano. Han berättar om en avancerad “långsiktig bluff” som riktar sig mot chefer i kryptobranschen.

Hur Nordkoreas falska möten tömmer kryptoplånböcker

Monahan förklarar att denna kampanj skiljer sig från de senaste attackerna som har använt AI-deepfakes.

Istället använder den en enklare metod med kapade Telegram-konton och loopade videor från riktiga intervjuer.

🚨 WARNING (AGAIN)

DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.

They're taking over your Telegrams -> using them to rekt all your friends.

They've stolen over $300m via this method already.

Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) December 13, 2025

Attacken startar ofta när hackare tar över ett pålitligt Telegram-konto. Kontot tillhör ofta en riskkapitalist eller någon som offret har träffat på en konferens.

De illvilliga angriparna använder sedan chatthistoriken för att verka trovärdiga. De får offret att boka ett möte via Zoom eller Microsoft Teams med en dold länk från Calendly.

När mötet börjar ser offret en video som verkar vara en livesändning från personen. Men videon är ofta en gammal inspelning från en podcast eller ett offentligt framträdande.

Det avgörande ögonblicket kommer ofta efter ett påhittat tekniskt problem.

Efter att ha sagt att ljudet eller bilden inte fungerar ber angriparen offret att återställa anslutningen. Offret ska då ladda ner ett särskilt skript eller uppdatera ett programutvecklingspaket (SDK). Filen som skickas innehåller skadlig kod.

När skadlig programvara har installerats, ofta en Remote Access Trojan (RAT), får angriparen full kontroll över datorn.

Den tömmer kryptoplånböcker och stjäl känslig information, till exempel interna säkerhetsrutiner och Telegram-sessionstoken. Dessa används sedan för att attackera nästa offer.

Mot bakgrund av detta varnar Monahan för att detta tillvägagångssätt utnyttjar professionell artighet.

Hackarna litar på den psykologiska pressen under “affärsmöten” för att tvinga fram ett ödesdigert misstag. Ett enkelt felsökningstips kan därmed bli en allvarlig säkerhetsrisk.

För personer i branschen gäller nu att alla uppmaningar att ladda ner program under ett samtal indikerar en pågående attack.

Samtidigt ingår denna metod med “fejkade möten” i ett större angrepp av Democratic People’s Republic of Korea (DPRK). De har stulit ungefär 2 miljarder USD från branschen det senaste året, inklusive attacken mot Bybit.