Активность северокорейских хакерских группировок, традиционно нацеленных на финансовый сектор и криптовалютные активы, продолжает эволюционировать в сторону невероятной изощрённости. Вместо грубых фишинговых писем злоумышленники теперь проводят многодневные кампании социальной инженерии, кульминацией которых становятся поддельные встречи в Zoom и Microsoft Teams, визуально неотличимые от настоящих. Результатом становится полный компрометация рабочих станций с последующей кражей кошельков, ключей и учётных данных. Новый уровень терпения и технической проработки атак сигнализирует о серьёзной эскалации угрозы для всего криптосообщества и смежных отраслей.
Описание
По данным альянса Security Alliance (SEAL), с 6 февраля по 7 апреля 2026 года были отслежены и заблокированы 164 домена, связанные с группировкой, известной под обозначением UNC1069 (также BlueNoroff), которая, как считается, действует в интересах КНДР. Эта кампания примечательна не масштабом, а исключительной методичностью и использованием сложных социальных техник. Группировка исторически специализируется на атаках на криптовалютные компании, венчурных фондов и известных лиц в этой сфере. Однако недавний инцидент с компрометацией пакета "axios" в репозитории npm, где использовались векторы, характерные для UNC1069, указывает на сознательное расширение зоны атак в сторону инфраструктуры открытого исходного кода, что потенциально даёт злоумышленникам доступ к значительно более широкой поверхности атаки через доверенные библиотеки.
Ключевой особенностью новой кампании является использование многонедельных операций по установлению доверительных отношений. Атака редко начинается с холодного контакта. Чаще всего злоумышленники вначале получают доступ к аккаунтам реальных знакомых жертвы в Telegram, LinkedIn или Slack - например, коллег по конференциям или деловых партнёров. Имея полную историю переписки, они возобновляют диалог, ссылаясь на прошлые обсуждения, что практически снимает любые подозрения. Если готовый скомпрометированный аккаунт недоступен, группа создаёт правдоподобные личности, имитируя сотрудников рекрутинговых агентств или представителей известных брендов. После установления контакта атакующий предлагает созвониться, используя легитимные сервисы вроде Calendly, и намеренно назначает встречу на одну-две недели вперёд, чтобы снять ощущение спешки и давления.
Непосредственно перед назначенным временем звонка жертве отправляется ссылка на встречу. Домен выглядит как легитимный, но является поддельным, а сама веб-страница представляет собой браузерную имитацию интерфейса Zoom или Microsoft Teams, собранную на основе официальных SDK (комплектов средств разработки) и визуально идентичную оригиналу. Никакой установки приложения или запуска исполняемого файла не требуется. На самой "встрече" жертва видит видео с якобы другими участниками, зачастую взятое из публичных записей докладов или подкастов. Сценарий развивается вокруг намеренно созданной технической неполадки: жертве сообщают, что её не слышно. Интерфейс показывает подсказку по устранению неисправности, а параллельно атакующий в том же мессенджере начинает в реальном времени "помогать" пользователю, убеждая его выполнить необходимые действия.
Этот активный социальный слой, когда живой оператор сопровождает жертву через весь процесс компрометации, является отличительной чертой UNC1069. Если пользователь выражает сомнения, атакующий немедленно снижает накал, предлагает альтернативные варианты, ссылается на проверки корпоративной службой безопасности и проявляет максимальное терпение. Исследователи SEAL в своём[отчёте подчёркивают, что именно сочетание технической безупречности поддельного интерфейса и психологической работы оператора делает атаку столь эффективной. Полезная нагрузка доставляется минималистично: либо через скачивание файла AppleScript (.scpt), замаскированного под обновление SDK, либо через инструкцию вставить определённую команду в терминал, где вредоносная строка окружена множеством безобидных.
После выполнения кода на систему жертвы устанавливается имплант, который присваивает устройству уникальный идентификатор (UUID), собирает базовую информацию об окружении, закрепляется в системе через стандартные механизмы macOS и начинает отзваниваться на управляющую инфраструктуру (C2) примерно каждые 60 секунд. Архитектура построена по модульному принципу: получив доступ, операторы оценивают ценность жертвы и вручную разворачивают необходимые инструменты. Среди задокументированных возможностей - полный сбор учётных данных из браузеров, кейлоггинг, кража сессионных токенов Telegram для последующего захвата аккаунта, извлечение данных из менеджеров паролей (Keychain, 1Password, Bitwarden), подмена браузерных расширений на вредоносные, а также эксфильтрация SSH-ключей и учётных данных облачных сервисов, например AWS.
Особую опасность представляет пост-компрометационная фаза. Операторы намеренно не проявляют активность сразу после заражения. Имплант может оставаться в пассивном режиме дни или недели, пока жертва, перенеся "несостоявшийся" звонок, продолжает обычную работу, не подозревая о компрометации. Это терпение позволяет максимально расширить окно для сбора информации. Более того, скомпрометированные аккаунты жертв затем используются для атак на их контакты, что приводит к каскадному эффекту и компрометации целых сетей доверия, выстроенных за годы. В то время как основная цель - пользователи macOS, что объясняется распространённостью этой платформы в криптоиндустрии, у группировки также есть инструменты для Windows и Linux. Демонстрируемая готовность атаковать через цепочку поставок открытого ПО указывает на стратегический сдвиг в тактике одной из самых настойчивых и финансово мотивированных угроз в киберпространстве.
Индикаторы компрометации
IPv4
- 107.180.119.82
- 132.148.217.168
- 141.136.43.165
- 148.72.73.98
- 162.0.215.196
- 162.213.255.41
- 162.255.119.134
- 162.255.119.153
- 162.255.119.184
- 162.255.119.19
- 162.255.119.192
- 162.255.119.204
- 162.255.119.223
- 162.255.119.35
- 162.255.119.45
- 162.255.119.95
- 172.86.91.195
- 184.94.213.200
- 188.227.197.32
- 192.64.119.144
- 192.64.119.167
- 192.64.119.22
- 192.64.119.220
- 192.64.119.249
- 192.64.119.29
- 192.64.119.40
- 192.64.119.5
- 192.64.119.88
- 192.64.119.93
- 198.187.29.26
- 198.54.114.236
- 198.54.115.108
- 198.54.115.166
- 198.54.115.40
- 198.54.116.166
- 198.54.116.214
- 198.54.116.40
- 198.54.117.242
- 198.54.120.79
- 199.188.200.43
- 199.188.205.45
- 2.57.91.62
- 23.254.167.21
- 64.187.97.203
- 66.29.132.149
- 66.29.141.223
- 66.29.141.6
- 66.29.153.158
- 66.29.153.159
- 67.223.118.116
- 67.223.118.42
- 68.65.121.187
- 68.65.121.244
- 68.65.121.248
- 68.65.121.250
- 68.65.122.191
- 68.65.122.242
- 68.65.123.114
- 68.65.123.117
- 68.65.123.163
- 68.65.123.168
- 68.65.123.178
- 68.65.123.193
- 68.65.123.50
- 68.65.123.75
- 69.57.162.186
- 69.57.162.193
- 83.136.208.87
- 83.136.210.29
- 83.136.210.87
- 84.32.84.157
- 84.32.84.32
- 91.195.240.123
Domains
- annaelsa.xyz
- callshere.com
- dencall.xyz
- inmsed.com
- join-uk.com
- lievec.com
- liivoe.com
- linelive.us
- liue.us
- liues.us
- liuesus.com
- liueus.com
- livehuddle01.us
- live-meet.online
- livescall.us
- livescall.xyz
- livesmeet.us
- livesmeets.us
- micrlive.online
- microb.click
- microc.click
- microca11.com
- microcal1.com
- microcall.us
- microcodf.com
- microcoll.com
- microe.click
- microg.click
- microh.click
- microi.click
- micromeet.us
- microp.click
- micror.click
- microsall.com
- microscalls.com
- microscell.com
- microschats.com
- microsdb.com
- microselt.com
- microshen.com
- microshlop.com
- microsinfos.com
- microsmeet.com
- microsomeet.com
- microsout.com
- microsslcheck.com
- microszlt.com
- microt.click
- micrusoft.us
- micstmeet.com
- ms-live.site
- ms-live.team
- mslivecall.com
- mslivecall.us
- mslivemeet.com
- msmeet.us
- ms-meet.xyz
- ms-meeting.us
- ms-meets.us.com
- ms-meets.xyz
- msquickcall.com
- msteamcall.com
- ms-teams.live
- ms-teams.us.com
- ms-teams.xyz
- nicrosofm.com
- nicrosolf.com
- nicrosolt.com
- nisrosodf.com
- olafsven.xyz
- oneasu.com
- onlivecall.com
- onlivemeet.com
- onmsed.com
- onreallive.com
- os-live.com
- os-live.online
- os-live.us
- os-live.xyz
- outms.com
- premuims.live
- reallivecall.us
- renaworkshard.xyz
- teamsiiwe.com
- teamslivc.com
- teamsliveo.com
- teamslivex.com
- teamslivos.com
- teamslivs.com
- teamsliwe.com
- teams-meet.xyz
- teams-us.live
- teamsync.live
- teemsliivc.com
- teemslive.com
- teemslivo.com
- uae04webzoom.us
- uc01web.us
- uc02web.us
- uc02websoom.us
- uc03web.us
- uc04web.us
- uc05websoom.us
- uc06web.us
- uco4webzoom.us
- uco5webzoom.us
- uco6webzoom.us
- ucweb05.us
- ue01web.us
- ue02web.us
- ue03web.us
- ue04web.us
- ue06web.us
- ueo4webzoom.us
- uk05live.us
- un01web.us
- uo01web.us
- uo05web.us
- us02websoom.us
- us03live.com
- us03websoom.us
- us03webuoom.us
- us05web.site
- us05websoom.us
- us05webszoom.us
- us05webxoom.us
- us06websoom.us
- us07web.me
- us0lwebzoom.us
- us10web.us
- usa04webzoom.us
- usa06webzoom.us
- use05webzoom.us
- uso04webzoom.us
- uso05webzoom.us
- uso06webzoom.us
- uso4web.us
- usobweb.us
- uswe05.us
- usweb0b.us
- usweb0l.us
- uswebob.com
- uswebob.us
- ux01web.us
- ux02web.us
- ux03web.us
- uz01web.us
- uz03web.us
- uz04web.us
- uz06web.us
- web05us.online
- web22n.us
- web-meet.live
- web-zoom.uk
- ww-live.com
- ww-live.online
- ww-live.us
- ww-live.xyz
- www-live.us
- www-live.xyz
