Ви можете зустріти клієнтів з високим рівнем доходів, які, можливо, є "найманцями" для північнокорейських хакерів

Оригінальний автор: Нікі, Foresight News

Нещодавно компанія Drift Protocol опублікувала останні результати розслідування інциденту з атакою, вказуючи, що ця операція була проведена тим самим зловмисником, який брав участь в хакерському інциденті Radiant Capital у жовтні 2024 року, з високим ступенем схожості в ланцюгових потоках коштів і оперативних методах. Компанія з кібербезпеки Mandiant приписала атаку на Radiant Capital групі UNC4736, організації, пов'язаній з урядом Північної Кореї.

Після атаки Drift хакери накопичили 130 293 ethereum-eth-143">ETH, вартість яких становить приблизно 266 мільйонів доларів. Інцидент зачепив 20 протоколів, включаючи Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, серед інших. Prime Numbers Fi оцінили збитки в понад 10 мільйонів доларів, Gauntlet – близько 6,4 мільйона доларів, Neutral Trade – близько 3,67 мільйона доларів, а Elemental DeFi – близько 2,9 мільйона доларів. Elemental висловив надію на отримання часткової компенсації від Drift.

Drift заявив, що атака була ретельно спланованою операцією, яка тривала шість місяців. Восени 2025 року група, яка назвала себе кількісною торговельною компанією, звернулася до учасників Drift на великій криптоконференції. Згідно з графіком, основні криптоконференції в цей період включали Корею Блокчейн Тиждень 2025 (з 22 по 28 вересня 2025 року, проводиться в Сеулі), TOKEN2049 Сінгапур (1–2 жовтня 2025 року, проводиться в Сінгапурі), Binance Blockchain Week Dubai 2025 (30–31 жовтня 2025 року, проводиться в Дубаї) та solana-4603">Солана Breakpoint Dubai (20–21 листопада 2025 р., Дубай).

Представники Drift стверджували, що вони технічно підковані, мають підтвердну професійну освіту та добре знайомі з діяльністю Drift. Обидві сторони створили групу в Telegram і протягом наступних місяців вели змістовні обговорення торгових стратегій та інтеграції казначейства.

З грудня 2025 року по січень 2026 року ця група офіційно перейшла на екологічне казначейство в Drift, заповнивши необхідні форми з деталізацією стратегії. Вони провели кілька робочих обговорень з кількома учасниками, підняли детальні питання щодо продукту та внесли понад 1 мільйон доларів власних коштів. Завдяки терплячій і організованій роботі вони створили повністю функціональну присутність у бізнес-екосистемі Drift.

Обговорення інтеграції тривали до березня цього року. Кілька учасників Drift знову зустрілися з цими особами на різних міжнародних конференціях. До цього часу обидві сторони встановили майже шестимісячні кооперативні відносини, і інша сторона вже не була незнайомою, а була партнером, з яким вони працювали. Протягом цього періоду вони ділилися посиланнями на проекти, інструменти та програми, які, за їхніми словами, вони будували, що є звичайною практикою серед торгових фірм.

Після атаки 2 квітня слідчі провели всебічну судово-медичну експертизу відомих уражених пристроїв, облікових записів і записів комунікацій, при цьому взаємодія з цією торговою командою стала найбільш ймовірним шляхом проникнення. На момент атаки записи чату Telegram і зловмисне програмне забезпечення іншої сторони були повністю знищені.

Розслідування показало, що зловмисники могли проникнути на пристрої учасників Drift трьома способами. Один із учасників міг бути скомпрометований після клонування загального для команди сховища коду, яке було замасковане під фронтенд для розгортання їхнього казначейства. Іншого учасника підкурили, щоб він завантажив додаток TestFlight, який інша сторона представила як свій продукт-гаманець. Щодо шляху проникнення до сховища коду, спільнота експертів з безпеки неодноразово попереджала з грудня 2025 року до лютого 2026 року про відомі вразливості в VSCode та Cursor, коли просто відкриття файлу, папки або сховища в редакторі могло безшумно виконувати довільний код без кліків користувача або будь-яких запитів. Повне криміналістичне дослідження ураженого обладнання все ще триває.

Ця операція пов'язана з тим самим зловмисником, який брав участь у хакерському інциденті в Radiant Capital у жовтні 2024 року. Mandiant приписав атаку Radiant UNC4736, державній організації з Північної Кореї, також відомій як AppleJeus або Citrine Sleet. Призначення базується на двох аспектах: потоки коштів в ланцюжку вказують на те, що кошти, використані для планування та тестування цієї операції, можна простежити до зловмисників Radiant; операційно, маскування, використані в цій дії, показують ідентифіковані перекриття з відомими заходами, пов'язаними з Північною Кореєю.

Drift зазначив, що особи, які з'явилися на офлайнових зустрічах, не були громадянами Північної Кореї. Такі високопоставлені північнокорейські зловмисники зазвичай встановлюють особисті контакти через посередників.

UNC4736 — це група зловмисників, яку відстежує Mandiant, і з високим ступенем впевненості її пов'язують з Генеральним розвідувальним управлінням Північної Кореї. Ця організація постійно націлювалася на криптовалюта і фінансово-технологічних галузях з 2018 року, крадучи цифрові дані активи через атаки на ланцюжок поставок, соціальну інженерію та доставку шкідливого програмного забезпечення.

Серед відомих великих інцидентів атак — атака на ланцюжок поставок 3CX у березні 2023 року, крадіжка 50 мільйонів доларів у Radiant Capital у 2024 році та крадіжка 285 мільйонів доларів у Drift, причому статистичні дані свідчать про те, що організація в цілому вкрала приблизно 335 мільйонів доларів.

Цей кластер широко вважається підмножиною групи Lazarus, яка зосереджується на кіберзлочинності, мотивованій фінансовою вигодою. У лютому 2025 року група Lazarus викрала активи вартістю приблизно 1,5 мільярда доларів у Bybit, що стало найбільшим одноразовим крадіжкою в історії криптовалют.

Група Lazarus — це група кіберзлочинців, підтримуваних урядом Північної Кореї, яка належить до Генерального розвідувального управління, до складу якого входять кілька підгруп, таких як UNC4736 (тобто AppleJeus/Citrine Sleet) і TraderTraitor. За даними Chainalysis, північнокорейські хакери викрали приблизно 6,75 мільярда доларів у криптовалюті через такі кластери, як Lazarus, причому понад 2 мільярди доларів — лише у 2025 році.

Організація несе відповідальність за кілька гучних нападів у всьому світі: хакерську атаку на Sony Pictures Entertainment у 2014 році, крадіжку 81 мільйона доларів з центрального банку Бангладеш у 2016 році, глобальну атаку вимагацького ПЗ WannaCry у 2017 році, крадіжки в розмірі 620 мільйонів доларів і 100 мільйонів доларів з Ronin Bridge і Harmony Horizon Bridge у 2022 році, а також атаки на Atomic Wallet і Stake у 2023 році. У жовтні 2024 року UNC4736 атакував Radiant Capital, викравши 50 мільйонів доларів; у лютому 2025 року TraderTraitor викрав рекордні 1,5 мільярда доларів у Bybit; а в квітні 2026 року вони здійснили атаку на Drift Protocol на суму 285 мільйонів доларів.

Lazarus у сукупності призвів до крадіжки криптовалют Північною Кореєю на суму 6,75 мільярда доларів. Методи атак змінилися з раннього знищення на довгострокову інфільтрацію, соціальну інженерію, атаки на ланцюжок поставок і шкідливі програми розумний контракт/інфільтрація з використанням кількох підписів.

У заяві Drift зазначалося, що розслідування показало, що особи, які використовувалися в спрямованих на треті сторони діях, мали повну особисту та професійну історію, включаючи досвід роботи, публічні кваліфікації та професійні мережі. Особи, яких бачили учасники Drift офлайн, витрачали місяці на створення профілів особистості, які могли витримати перевірку в контексті ділової співпраці.

Дослідник у галузі безпеки Тейлор Монахан раніше заявив, що північнокорейські ІТ-працівники проникали в криптовалютні компанії та проекти DeFi щонайменше протягом семи років, і понад 40 платформ DeFi залучали північнокорейських ІТ-працівників на різних етапах. Інцидент із Drift ще більше свідчить про те, що зловмисники перейшли від віддаленого проникнення до особистих, спрямованих на збір розвідданих операцій, які тривають місяцями.

У Drift заявили, що продовжуватимуть співпрацювати з правоохоронними органами, криміналістичними партнерами та командами екосистеми, і більше деталей буде оприлюднено після завершення розслідування. Усі інші функції протоколу заморожено, викрадені гаманці видалено з багатопідписних гаманців, а адреси зловмисників позначено на різних біржах і операторах міжланцюгових мостів.