Potresti incontrare clienti ad alto patrimonio netto che sono possibilmente "mercenari" per gli hacker nordcoreani

Autore originale: Nicky, Foresight News

Recentemente, Drift Protocol ha rilasciato i risultati più recenti dell'indagine riguardante l'incidente di attacco, indicando che questa operazione è stata condotta dallo stesso attore di minaccia coinvolto nell'incidente di hacking di Radiant Capital nell'ottobre 2024, con un alto grado di somiglianza nei flussi di fondi on-chain e nei metodi operativi. La società di sicurezza Mandiant ha attribuito l'attacco a Radiant Capital a UNC4736, un'organizzazione legata al governo nordcoreano.

Dopo l'attacco a Drift, gli hacker hanno accumulato 130.293 ethereum-eth-143">ETH, del valore di circa 266 milioni di dollari. L'incidente ha colpito 20 protocolli, tra cui Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, tra gli altri. Prime Numbers Fi ha stimato perdite superiori a 10 milioni di dollari, Gauntlet circa 6,4 milioni, Neutral Trade circa 3,67 milioni, ed Elemental DeFi circa 2,9 milioni, con Elemental che ha espresso speranze di ricevere un risarcimento parziale da Drift.

Drift ha dichiarato che l'attacco è stata un'operazione meticolosamente pianificata durata sei mesi. Nell'autunno del 2025, un gruppo che affermava di essere una società di trading quantitativo si è avvicinato ai contributori di Drift durante una grande conferenza di criptovalute. In base alla cronologia, le principali conferenze di criptovalute durante questo periodo includevano Korea Blockchain Week 2025 (dal 22 al 28 settembre 2025, tenutasi a Seoul), TOKEN2049 Singapore (dal 1 al 2 ottobre 2025, tenutasi a Singapore), Binance Blockchain Week Dubai 2025 (dal 30 al 31 ottobre 2025, tenutasi a Dubai), e Solana Breakpoint Dubai (dal 20 al 21 novembre 2025, tenutasi a Dubai).

I funzionari di Drift hanno affermato di essere tecnicamente competenti, di avere background professionali verificabili e di essere molto familiari con le operazioni di Drift. Entrambe le parti hanno creato un gruppo Telegram e hanno intrapreso discussioni sostanziali sulle strategie di trading e sull'integrazione del tesoro nei mesi successivi.

Da dicembre 2025 a gennaio 2026, questo gruppo si è ufficialmente insediato in un tesoro ecologico su Drift, compilando i moduli di dettaglio della strategia come richiesto. Hanno tenuto più discussioni di lavoro con diversi contributori, sollevato questioni dettagliate sui prodotti e depositato oltre 1 milione di dollari dei propri fondi. Attraverso operazioni pazienti e ordinate, hanno stabilito una presenza aziendale completamente funzionale all'interno dell'ecosistema Drift.

Le discussioni di integrazione sono continuate fino a marzo di quest'anno. Diversi contributori di Drift si sono incontrati faccia a faccia con queste persone di nuovo in varie conferenze internazionali. A questo punto, entrambe le parti avevano stabilito una relazione cooperativa di quasi sei mesi, e l'altra parte non era più uno sconosciuto ma un partner con cui avevano lavorato. Durante questo periodo, hanno condiviso link a progetti, strumenti e applicazioni che affermavano di costruire, il che è una pratica comune tra le aziende di trading.

Dopo l'attacco del 2 aprile, gli investigatori hanno condotto un'analisi forense completa dei dispositivi, degli account e dei registri di comunicazione noti come colpiti, con le interazioni con questo team di trading che sono diventate il percorso di intrusione più probabile. Al momento dell'attacco, i registri della chat Telegram dell'altra parte e il malware erano stati completamente cancellati.

L'indagine ha rivelato che gli aggressori potrebbero aver infiltrato i dispositivi dei collaboratori di Drift attraverso tre metodi. Un collaboratore potrebbe essere stato compromesso dopo aver clonato il repository di codice condiviso dal team, che era mascherato come il front end per il dispiegamento del loro tesoro. Un altro collaboratore è stato attirato a scaricare un'app TestFlight, che l'altra parte affermava fosse il loro prodotto wallet. Per quanto riguarda il percorso di infiltrazione del repository di codice, la comunità della sicurezza aveva ripetutamente avvertito da dicembre 2025 a febbraio 2026 riguardo a vulnerabilità note in VSCode e Cursor, dove semplicemente aprire un file, una cartella o un repository nell'editor potrebbe eseguire silenziosamente codice arbitrario senza clic dell'utente o alcun avviso. Un'analisi forense completa dell'hardware colpito è ancora in corso.

Questa operazione è collegata allo stesso attore di minaccia coinvolto nell'incidente di hacking di Radiant Capital nell'ottobre 2024. Mandiant ha attribuito l'attacco a Radiant a UNC4736, un'organizzazione sponsorizzata dallo stato della Corea del Nord, nota anche come AppleJeus o Citrine Sleet. L'attribuzione si basa su due aspetti: i flussi di fondi on-chain indicano che i fondi utilizzati per pianificare e testare questa operazione possono essere ricondotti agli aggressori di Radiant; operativamente, i travestimenti utilizzati in questa azione mostrano sovrapposizioni identificabili con attività note legate alla Corea del Nord.

Drift ha sottolineato che gli individui che sono apparsi agli incontri offline non erano di nazionalità nordcoreana. Tali attori di minaccia nordcoreani di alto livello stabiliscono tipicamente relazioni faccia a faccia attraverso intermediari di terze parti.

UNC4736 è un gruppo di attori di minaccia tracciati da Mandiant, con valutazioni di alta fiducia che lo collegano al Bureau Generale di Ricognizione della Corea del Nord. Questa organizzazione ha continuamente preso di mira le industrie criptovalute e fintech dal 2018, rubando asset">attivi digitali attraverso attacchi alla catena di approvvigionamento, ingegneria sociale e consegna di malware.

Gli incidenti di attacco noti includono l'attacco alla catena di approvvigionamento 3CX di marzo 2023, il furto di 50 milioni di dollari da Radiant Capital nel 2024 e il furto di 285 milioni di dollari da Drift, con dati statistici che indicano che l'organizzazione ha rubato circa 335 milioni di dollari in totale.

Questo gruppo è ampiamente considerato un sottoinsieme del Gruppo Lazarus, focalizzato su crimine informatico motivato finanziariamente. Il Gruppo Lazarus ha rubato circa 1,5 miliardi di dollari in attivi da Bybit nel febbraio 2025, segnando il furto singolo più grande nella storia delle criptovalute.

Il Gruppo Lazarus è un gruppo di attori di minaccia informatica supportati dal governo nordcoreano, appartenente al Bureau Generale di Ricognizione, che include più sotto-gruppi come UNC4736 (cioè, AppleJeus/Citrine Sleet) e TraderTraitor. Secondo Chainalysis, gli hacker nordcoreani hanno rubato circa 6,75 miliardi di dollari in criptovalute attraverso gruppi come Lazarus, con oltre 2 miliardi nel 2025 da soli.

L'organizzazione è stata responsabile di diversi incidenti di attacco sensazionali a livello globale: l'hack di Sony Pictures Entertainment nel 2014, il furto di 81 milioni di dollari dalla banca centrale del Bangladesh nel 2016, l'epidemia globale di ransomware WannaCry nel 2017, i furti di 620 milioni e 100 milioni di dollari da Ronin Bridge e Harmony Horizon Bridge nel 2022, e attacchi a Atomic Wallet e Stake nel 2023. Nel ottobre 2024, UNC4736 ha attaccato Radiant Capital, rubando 50 milioni di dollari; nel febbraio 2025, TraderTraitor ha rubato un record di 1,5 miliardi di dollari da Bybit; e nell'aprile 2026, hanno completato un attacco di 285 milioni di dollari a Drift Protocol.

Lazarus ha cumulativamente portato l'ammontare dei furti di criptovalute della Corea del Nord a 6,75 miliardi di dollari. I metodi di attacco sono passati dalla distruzione iniziale all'infiltrazione a lungo termine, ingegneria sociale, attacchi alla catena di approvvigionamento e infiltrazione di smart contract/multi-firma.

La dichiarazione di Drift ha notato che l'indagine ha rivelato che le identità utilizzate in azioni dirette da terzi avevano storie personali e professionali complete, comprese esperienze lavorative, qualifiche pubbliche e reti professionali. Gli individui visti dai collaboratori di Drift offline hanno trascorso mesi a costruire profili identitari che potessero resistere a controlli in un contesto di cooperazione aziendale.

Il ricercatore di sicurezza Taylor Monahan ha precedentemente dichiarato che i lavoratori IT nordcoreani stanno infiltrando aziende di criptovalute e progetti DeFi da almeno sette anni, con oltre 40 piattaforme DeFi che hanno lavoratori IT nordcoreani coinvolti in varie fasi. L'incidente di Drift indica ulteriormente che gli attaccanti sono evoluti dall'infiltrazione di lavori remoti a operazioni di intelligence mirate faccia a faccia, della durata di mesi.

Drift ha dichiarato che continuerà a collaborare con le forze dell'ordine, i partner forensi e i team dell'ecosistema, con ulteriori dettagli che saranno rilasciati dopo il completamento dell'indagine. Tutte le funzioni rimanenti del protocollo sono state congelate, i portafogli rubati sono stati rimossi dalle multi-firme e gli indirizzi degli attaccanti sono stati segnalati presso vari exchange e operatori di bridge cross-chain.