Sie können vermögende Kunden treffen, die möglicherweise "Söldner" für nordkoreanische Hacker sind

Originalautor: Nicky, Foresight News

Drift Protocol veröffentlichte kürzlich die neuesten Untersuchungsergebnisse zu dem Angriffsvorfall, die darauf hindeuten, dass diese Operation von demselben Bedrohungsakteur durchgeführt wurde, der am Hackerangriff auf Radiant Capital im Oktober 2024 beteiligt war, mit einem hohen Grad an Ähnlichkeit in den On-Chain-Fondsflüssen und operativen Methoden. Die Sicherheitsfirma Mandiant schrieb den Angriff auf Radiant Capital UNC4736 zu, einer Organisation, die mit der nordkoreanischen Regierung verbunden ist.

Nach dem Drift-Angriff haben die Hacker 130.293 ethereum-eth-143">ETH im Wert von etwa 266 Millionen Dollar angehäuft. Von dem Vorfall waren 20 Protokolle betroffen, darunter Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0 und andere. Prime Numbers Fi schätzte die Verluste auf über 10 Millionen Dollar, Gauntlet auf rund 6,4 Millionen Dollar, Neutral Trade auf rund 3,67 Millionen Dollar und Elemental DeFi auf 2,9 Millionen Dollar, wobei Elemental Hoffnungen auf eine teilweise Entschädigung durch Drift äußerte.

Drift erklärte, dass der Angriff eine sorgfältig geplante Operation von sechs Monaten war. Im Herbst 2025 trat eine Gruppe, die behauptete, ein quantitatives Handelsunternehmen zu sein, auf einer großen Kryptokonferenz an Drift-Mitwirkende heran. Basierend auf der Zeitachse umfassten die großen Kryptokonferenzen in diesem Zeitraum die Korea Blockchain Week 2025 (22. bis 28. September 2025 in Seoul), TOKEN2049 Singapur (1. bis 2. Oktober 2025 in Singapur), die Binance Blockchain Week Dubai 2025 (30. bis 31. Oktober 2025 in Dubai) und den Solana Breakpoint Dubai (20. bis 21. November 2025 in Dubai).

Drift-Beamte behaupteten, sie seien technisch versiert, hätten nachweisbare berufliche Hintergründe und seien mit Drifts Operationen bestens vertraut. Beide Parteien gründeten eine Telegram-Gruppe und führten in den folgenden Monaten inhaltliche Diskussionen über Handelsstrategien und Treasury-Integration.

Von Dezember 2025 bis Januar 2026 siedelte sich diese Gruppe offiziell in einer ökologischen Schatzkammer auf Drift an und füllte bei Bedarf detaillierte Strategieformulare aus. Sie führten mehrere Arbeitsgespräche mit mehreren Mitwirkenden, sprachen detaillierte Produktfragen an und hinterlegten über 1 Million Dollar Eigenmittel. Durch geduldige und geordnete Abläufe etablierten sie eine voll funktionsfähige Geschäftspräsenz im Drift-Ökosystem.

Die Integrationsgespräche dauerten bis März dieses Jahres an. Mehrere Drift-Mitwirkende trafen sich auf verschiedenen internationalen Konferenzen wieder persönlich mit diesen Personen. Zu diesem Zeitpunkt hatten beide Parteien eine fast sechsmonatige kooperative Beziehung aufgebaut, und die andere Partei war nicht mehr fremd, sondern ein Partner, mit dem sie zusammengearbeitet hatten. Während dieser Zeit teilten sie Links zu Projekten, Tools und Anwendungen, die sie angeblich erstellten, was unter Handelsunternehmen üblich ist.

Nach dem Angriff am 2. April führten die Ermittler eine umfassende forensische Untersuchung bekannter betroffener Geräte, Konten und Kommunikationsdatensätze durch, wobei Interaktionen mit diesem Handelsteam der wahrscheinlichste Eindringpfad wurden. Zum Zeitpunkt des Angriffs waren die Telegram-Chatdatensätze und Malware der anderen Partei vollständig gelöscht.

Die Ermittlungen ergaben, dass die Angreifer die Geräte von Drift-Mitwirkenden durch drei Methoden infiltriert haben könnten. Ein Mitwirkender wurde möglicherweise kompromittiert, nachdem er das Code-Repository geklont hatte, das vom Team gemeinsam genutzt wurde und als Frontend für die Bereitstellung seines Treasury getarnt war. Ein weiterer Mitwirkender wurde zum Download einer TestFlight-App gelockt, die nach Angaben der anderen Partei ihr Wallet-Produkt war. Bezüglich des Infiltrationspfads des Code-Repositorys hatte die Sicherheitsgemeinschaft von Dezember 2025 bis Februar 2026 wiederholt vor bekannten Schwachstellen in VSCode und Cursor gewarnt, bei denen das einfache Öffnen einer Datei, eines Ordners oder eines Repositorys im Editor beliebigen Code ohne Benutzerklicks oder Aufforderungen stillschweigend ausführen könnte. Eine vollständige forensische Analyse der betroffenen Hardware ist noch im Gange.

Diese Operation steht im Zusammenhang mit demselben Bedrohungsakteur, der am Hackerangriff auf Radiant Capital im Oktober 2024 beteiligt war. Mandiant schrieb den Radiant-Angriff UNC4736 zu, einer staatlich geförderten Organisation aus Nordkorea, die auch als AppleJeus oder Citrine Sleet bekannt ist. Die Zuweisung basiert auf zwei Aspekten: Die ketteninternen Geldflüsse deuten darauf hin, dass die Mittel, die zur Planung und Erprobung dieser Operation verwendet wurden, zu den Radiant-Angreifern zurückverfolgt werden können; operativ zeigen die bei dieser Aktion verwendeten Tarnungen erkennbare Überschneidungen mit bekannten nordkoreanischen Aktivitäten.

Drift wies darauf hin, dass die Personen, die zu den Offline-Treffen erschienen, nicht nordkoreanischer Nationalität seien. Solche hochrangigen nordkoreanischen Bedrohungsakteure bauen in der Regel persönliche Beziehungen über Drittanbieter auf.

UNC4736 ist ein Cluster von Bedrohungsakteuren, die von Mandiant aufgespürt werden, mit hohen Vertrauensbewertungen, die es mit dem Nordkoreanischen Aufklärungs-Generalbüro verbinden. Das Unternehmen hat seit 2018 kontinuierlich die Kryptowährungs- und Fintech-Branche ins Visier genommen und digitale Assets durch Supply Chain-Angriffe, Social Engineering und Malware-Bereitstellung gestohlen.

Bekannte größere Angriffsereignisse sind der 3CX-Angriff auf die Lieferkette im März 2023, der Diebstahl von Radiant Capital im Jahr 2024 in Höhe von 50 Millionen US-Dollar und der Diebstahl von Drift in Höhe von 285 Millionen US-Dollar, wobei statistische Daten zeigen, dass die Organisation insgesamt etwa 335 Millionen US-Dollar gestohlen hat.

Dieser Cluster gilt weithin als eine Teilmenge der Lazarus-Gruppe mit Fokus auf finanziell motivierte Cyberkriminalität. Die Lazarus-Gruppe stahl im Februar 2025 Vermögenswerte in Höhe von rund 1,5 Milliarden US-Dollar von Bybit und markiert damit den größten einzelnen Diebstahl in der Geschichte der Kryptowährung.

Die Lazarus Group ist ein von der nordkoreanischen Regierung unterstützter Cluster von Cyber-Bedrohungsakteuren, der zum Reconnaissance General Bureau gehört, zu dem mehrere Untercluster wie UNC4736 (d. h. AppleJeus/Citrine Sleet) und TraderTraitor gehören. Laut Chainalysis haben nordkoreanische Hacker über Cluster wie Lazarus Kryptowährungen im Wert von rund 6,75 Milliarden Dollar gestohlen, allein 2025 waren es über 2 Milliarden Dollar.

Die Organisation war für mehrere weltweit aufsehenerregende Angriffsvorfälle verantwortlich: den Sony Pictures Entertainment Hack von 2014, den 81 Millionen US-Dollar schweren Diebstahl der Zentralbank von Bangladesch im Jahr 2016, den weltweiten WannaCry-Ransomware-Ausbruch im Jahr 2017, die 620 Millionen und 100 Millionen US-Dollar schweren Diebstähle von Ronin Bridge und Harmony Horizon Bridge im Jahr 2022 sowie Angriffe auf Atomic Wallet and Stake im Jahr 2023. Im Oktober 2024 griff UNC4736 Radiant Capital an und stahl 50 Millionen US-Dollar; im Februar 2025 stahl TraderTraitor einen Rekordwert von 1,5 Milliarden US-Dollar von Bybit; und im April 2026 vollendeten sie einen Angriff auf Drift Protocol in Höhe von 285 Millionen US-Dollar.

Lazarus hat Nordkoreas Kryptowährungsdiebstahl kumuliert auf 6,75 Milliarden US-Dollar getrieben. Angriffsmethoden haben sich von der frühen Zerstörung hin zu langfristiger Infiltration, Social Engineering, Supply Chain-Angriffen und böswilliger Smart Contract-/Multisignatur-Infiltration verlagert.

In Drifts Erklärung wurde festgestellt, dass die Untersuchung ergab, dass die Identitäten, die bei von Dritten gerichteten Handlungen verwendet wurden, vollständige persönliche und berufliche Vorgeschichten hatten, einschließlich Berufserfahrung, öffentliche Qualifikationen und berufliche Netzwerke. Die Personen, die von Drift-Mitwirkenden offline gesehen wurden, verbrachten Monate damit, Identitätsprofile zu erstellen, die einer Überprüfung in einem Geschäftskooperationskontext standhalten könnten.

Sicherheitsforscher Taylor Monahan erklärte zuvor, dass nordkoreanische IT-Mitarbeiter seit mindestens sieben Jahren Kryptowährungsunternehmen und DeFi-Projekte infiltrieren, wobei über 40 DeFi-Plattformen nordkoreanische IT-Mitarbeiter in verschiedenen Phasen einbeziehen. Der Drift-Vorfall deutet ferner darauf hin, dass sich die Angreifer von der Remote-Job-Infiltration zu direkten, monatelangen gezielten Geheimdienstoperationen entwickelt haben.

Drift erklärte, dass es weiterhin mit Strafverfolgungsbehörden, forensischen Partnern und Ökosystemteams zusammenarbeiten wird. Weitere Details werden nach Abschluss der Untersuchung veröffentlicht. Alle verbleibenden Protokollfunktionen wurden eingefroren, die gestohlenen Brieftaschen aus Mehrfachsignaturen entfernt und die Adressen der Angreifer an verschiedenen Börsen und Cross-Chain-Bridge-Betreibern markiert.