แฮกเกอร์เกาหลีเหนือขโมย USD300 ล้านผ่านประชุม Zoom ปลอม

แก้ไขโดย
Mohammad Shahid

15 ธันวาคม พ.ศ. 2568 02:00 ICT

แฮกเกอร์เกาหลีเหนือขโมยเงินกว่า USD 300 ล้านด้วยการปลอมตัวเป็นบุคคลในวงการที่เชื่อถือได้ผ่านการประชุม Zoom และ Microsoft Teams ปลอม
คนร้ายยึดบัญชี Telegram ใช้วิดีโอเก่าและสร้างปัญหาทางเทคนิคหลอกเหยื่อติดตั้งมัลแวร์ดูดคริปโต
ด้วยเหตุนี้ นักวิจัยด้านความปลอดภัยเตือนว่าทุกคำขอให้ดาวน์โหลดซอฟต์แวร์ระหว่างการโทรแบบสดควรถูกพิจารณาว่าเป็นการโจมตีแบบแอคทีฟ

อาชญากรไซเบอร์จากเกาหลีเหนือได้เปลี่ยนกลยุทธ์ในแคมเปญวิศวกรรมสังคม โดยพวกเขาขโมยเงินมากกว่า 300 ล้าน USD ด้วยการแอบอ้างเป็นบุคคลในอุตสาหกรรมที่เชื่อถือได้ผ่านวิดีโอประชุมปลอม

คำเตือนซึ่งถูกเปิดเผยโดย Taylor Monahan นักวิจัยด้านความปลอดภัยของ MetaMask (ซึ่งเป็นที่รู้จักในชื่อ Tayvano) ได้อธิบายรายละเอียดถึงแผนการ “ระยะยาว” ที่ซับซ้อน โดยเจาะจงเป้าหมายเป็นผู้บริหารในวงการคริปโต

เกาหลีเหนือใช้การประชุมปลอมดูดเงินจากกระเป๋าเงินคริปโต

ตามที่ Monahan กล่าว แคมเปญนี้แตกต่างจากการโจมตีในอดีตที่พึ่งพา AI deepfake

ทั้งนี้พวกเขาใช้วิธีการที่ตรงไปตรงมายิ่งขึ้นโดยอาศัย การเข้ายึดบัญชี Telegram และใช้วิดีโอสัมภาษณ์จริงวนลูปแทน

🚨 WARNING (AGAIN)

DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.

They're taking over your Telegrams -> using them to rekt all your friends.

They've stolen over $300m via this method already.

Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) December 13, 2025

รูปแบบการโจมตีนี้มักเริ่มขึ้นหลังจากแฮกเกอร์ได้ควบคุมบัญชี Telegram ที่เชื่อถือได้ ซึ่งมักเป็นของนักลงทุนร่วมทุนหรือบุคคลที่เหยื่อเคยพบในงานสัมมนา

จากนั้น กลุ่มคนร้ายจะอาศัยประวัติการสนทนาเดิมเพื่อสร้างความน่าเชื่อถือ โดยชักนำเหยื่อเข้าสู่วิดีโอคอลบน Zoom หรือ Microsoft Teams ผ่านลิงก์ Calendly ที่ดัดแปลงซ่อนเจตนา

เมื่อการประชุมเริ่ม ผู้เสียหายจะเห็นเหมือนเป็นวิดีโอสดจากบุคคลที่ตนรู้จัก แต่แท้จริงแล้วมักเป็นการนำวิดีโอสัมภาษณ์จากพอดแคสต์หรือการปรากฏตัวสาธารณะมาใช้ซ้ำ

Sponsored

ช่วงสำคัญมักเกิดขึ้นเมื่อมีการสร้างปัญหาทางเทคนิคขึ้นมาอย่างจงใจ

หลังจากอ้างปัญหาเสียงหรือภาพ กลุ่มคนร้ายจะรีบเร่งให้เหยื่อกู้คืนการเชื่อมต่อ ด้วยการดาวน์โหลดสคริปต์หนึ่งหรือติดตั้ง SDK ที่พวกเขาแนะนำ ซึ่งไฟล์นั้นมีมัลแวร์ซ่อนอยู่

เมื่อเหยื่อติดตั้งมัลแวร์แล้ว—โดยทั่วไปจะเป็น Remote Access Trojan (RAT)—กลุ่มแฮกเกอร์จะควบคุมเครื่องเป้าหมายได้ทั้งหมด

พวกเขาจะดูดเงินออกจากกระเป๋าคริปโต พร้อมกับขโมยข้อมูลสำคัญ เช่น โปรโตคอลความปลอดภัยภายในและโทเคน Telegram session ซึ่งนำไปใช้โจมตีเหยื่อต่อในเครือข่าย

กล่าวโดยสรุป Monahan ได้เตือน ว่าแผนการนี้ ใช้ประโยชน์จากความเกรงใจในสายอาชีพ

กลุ่มแฮกเกอร์อาศัยแรงกดดันทางจิตวิทยาของการ “ประชุมธุรกิจ” เพื่อให้เหยื่อขาดความรอบคอบ เปลี่ยนการขอความช่วยเหลือด้านเทคนิคให้กลายเป็นภัยคุกคามต่อความปลอดภัย

สำหรับผู้ที่อยู่ในวงการ ทุกคำขอให้ดาวน์โหลดซอฟต์แวร์ระหว่างสนทนาจึงถือว่าเป็นสัญญาณโจมตี

ในขณะเดียวกัน กลยุทธ์ “ประชุมปลอม” นี้ เป็นเพียงส่วนหนึ่งของปฏิบัติการขนาดใหญ่โดย กลุ่มผู้โจมตีจากประเทศเกาหลีเหนือ ซึ่งตลอดปีที่ผ่านมา พวกเขาขโมยเงินจากอุตสาหกรรมนี้ราว 2 พันล้าน USD รวมถึงกรณี Bybit

หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิดเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ ทั้งนี้เป็นไปตาม แนวทางของ Trust Project ของเรา และโปรดอ่าน ข้อกำหนดและเงื่อนไข, นโยบายความเป็นส่วนตัว และ ข้อจำกัดความรับผิดชอบ ของเรา