Theo bản cập nhật chi tiết về sự cố được nhóm này công bố hồi Chủ nhật, một chiến dịch tình báo kéo dài sáu tháng đã được thực hiện trước vụ khai thác giao thức Drift trị giá 270 triệu đô la, và được tiến hành bởi một nhóm liên kết với nhà nước Triều Tiên.
Nhóm tấn công lần đầu tiên liên lạc vào khoảng mùa thu năm 2025 tại một hội nghị tiền điện tử lớn, tự xưng là một công ty giao dịch định lượng đang tìm cách tích hợp với Drift.
Theo Drift, họ am hiểu về kỹ thuật, có lý lịch chuyên môn được xác minh và hiểu rõ cách thức hoạt động của giao thức. Một nhóm Telegram đã được thành lập và sau đó là nhiều tháng thảo luận chuyên sâu về chiến lược giao dịch và tích hợp kho tiền, những tương tác thường thấy khi các công ty giao dịch tham gia vào các giao thức DeFi .
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã thiết lập một Kho lưu trữ hệ sinh thái trên Drift, tổ chức nhiều buổi làm việc với các nhà đóng góp, gửi hơn 1 triệu đô la Vốn tự có và xây dựng sự hiện diện hoạt động hiệu quả bên trong hệ sinh thái.
Các cộng tác viên của Drift đã gặp gỡ trực tiếp các cá nhân trong nhóm tại nhiều hội nghị lớn trong ngành ở nhiều quốc gia khác nhau trong suốt tháng Hai và tháng Ba. Vào thời điểm cuộc tấn công diễn ra vào ngày 1 tháng 4, mối quan hệ này đã kéo dài gần nửa năm.
Sự thỏa hiệp dường như đạt được thông qua hai hướng.
Một người khác đã tải xuống ứng dụng TestFlight, nền tảng của Apple để phân phối các ứng dụng trước khi phát hành, bỏ qua quá trình kiểm duyệt bảo mật của App Store, mà nhóm này giới thiệu như sản phẩm ví điện tử của họ.
Đối với phương thức tấn công kho lưu trữ, Drift đã chỉ ra một lỗ hổng đã biết trong VSCode và Cursor, hai trong số các trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm, mà cộng đồng bảo mật đã cảnh báo từ cuối năm 2025, trong đó chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo là đủ để thực thi mã tùy ý một cách âm thầm mà không có bất kỳ lời nhắc hoặc cảnh báo nào.
Sau khi các thiết bị bị xâm nhập, những kẻ tấn công đã có được những gì chúng cần để có được hai phê duyệt đa chữ ký, cho phép thực hiện cuộc tấn công Nonce bền vững mà CoinDesk đã mô tả chi tiết hồi đầu tuần này. Các giao dịch được ký trước đó đã nằm im trong hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút sạch 270 triệu đô la từ kho tiền của giao thức chỉ trong chưa đầy một phút.
Các chỉ dẫn cho thấy nhóm này là UNC4736, một nhóm liên kết với nhà nước Triều Tiên, cũng được theo dõi dưới tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng tiền on-chain có nguồn gốc từ những kẻ tấn công Radiant Capital và sự trùng lặp về hoạt động với các cá nhân được biết là có liên hệ với CHDC Triều Tiên.
Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe dọa từ CHDC Triều Tiên ở cấp độ này được biết là thường sử dụng các bên trung gian thứ ba với danh tính, lịch sử việc làm và mạng lưới chuyên môn được xây dựng hoàn chỉnh để vượt qua quá trình thẩm định.
Drift kêu gọi các giao thức khác kiểm tra lại quyền truy cập và coi mọi thiết bị kết nối với chữ ký đa chữ ký là mục tiêu tiềm năng. Điều này gây khó chịu cho một ngành công nghiệp vốn dựa vào quản trị chữ ký đa chữ ký như mô hình bảo mật chính.
Nhưng nếu những kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu đô la để xây dựng sự hiện diện hợp pháp trong một hệ sinh thái, gặp gỡ trực tiếp các nhóm, đóng góp Vốn thực sự và chờ đợi, thì câu hỏi đặt ra là mô hình bảo mật nào được thiết kế để bắt giữ chúng.
