## Monatelange Infiltration führt zu massivem Krypto-Raub **Drift**-Offizielle legten dar, wie die Operation sechs Monate vor dem Diebstahl begann, als sie auf einer Kryptokonferenz von Personen angesprochen wurden, die behaupteten, eine quantitative Handelsfirma zu vertreten. Diese Firma, die mit **UNC4736** in Verbindung gebracht wird, einer nordkoreanischen staatlich verbundenen Gruppe, die auch als **AppleJeus** oder **Citrine Sleet** bekannt ist, initiierte eine sorgfältig ausgearbeitete Beziehung. Diese Personen, die als technisch versiert mit tiefem Wissen über **Drift** beschrieben wurden, hatten "überprüfbare berufliche Hintergründe". Untersuchungen ergaben, dass nordkoreanische Agenten **Drift**-Mitarbeiter auf mehreren großen Branchenkonferenzen in mehreren Ländern in den folgenden Monaten ins Visier nahmen. Entscheidend ist, dass die Personen, die **Drift**-Mitarbeiter persönlich trafen, keine nordkoreanischen Staatsbürger waren. Die Regierung soll angeblich Vermittler eingesetzt haben, um Vertrauen und eine gute Beziehung aufzubauen. Laut **Drift** hatten diese externen Akteure sorgfältig Identitäten konstruiert, einschließlich Beschäftigungshistorien, öffentlicher Anmeldeinformationen und beruflicher Netzwerke, die darauf ausgelegt waren, einer Überprüfung standzuhalten. **Drift**-Mitarbeiter führten monatelang Gespräche mit der angeblichen Handelsfirma über eine **Telegram**-Gruppe, in der Handelsstrategien und potenzielle Tresorintegrationen besprochen wurden. Diese Interaktion spiegelte typische Onboarding-Verfahren für Handelsfirmen auf der **Drift**-Plattform wider. Das Unternehmen zahlte sogar 1 Million US-Dollar eigenes Kapital auf **Drift** ein, um guten Willen zu zeigen. Integrationsgespräche dauerten monatelang an, wobei persönliche Treffen auf Branchenkonferenzen die Beziehung weiter festigten. Am 1. April starteten die Hacker ihren Angriff und stahlen 280 Millionen US-Dollar. Eine interne Überprüfung der betroffenen Geräte führte die Intrusion auf Interaktionen mit der betrügerischen Handelsgruppe zurück. Ein aufschlussreiches Zeichen war die sofortige Löschung des gesamten **Telegram**-Chatverlaufs mit **Drift** durch das Handelsunternehmen unmittelbar nach dem Exploit. Untersuchungen deckten potenzielle Angriffsvektoren auf, darunter einen kompromittierten Mitarbeiter, der ein bösartiges Code-Repository kopierte, das von der Handelsfirma geteilt wurde, und einen anderen, der aufgefordert wurde, eine potenziell bösartige **TestFlight**-Anwendung herunterzuladen. **Drift** arbeitet derzeit mit Strafverfolgungsbehörden und dem Cybersicherheitsunternehmen **Mandiant** an der laufenden Untersuchung zusammen. Alle Funktionen von **Drift** wurden eingefroren, und die Wallets des Angreifers wurden auf mehreren Börsen und Bridge-Betreibern markiert. ## Echos vergangener Angriffe Ermittler haben den **Drift**-Angriff mit dem Diebstahl von 50 Millionen US-Dollar von der Krypto-Firma **Radiant Capital** im Oktober 2024 in Verbindung gebracht und Ähnlichkeiten bei den Zielen der Gelder und den während beider Operationen verwendeten Personas festgestellt. Michael Barnhart, ein Experte für nordkoreanische Cyberoperationen bei **DTEX**, bemerkte die Verbindung des Vorfalls mit anderen umsatzgenerierenden Schemata, die von Pjöngjang orchestriert wurden. Barnhart hob die Verwendung von Stellvertretern und Strohmännern hervor, eine Taktik, die an frühere nordkoreanische Operationen erinnert, einschließlich der Ermordung von Kim Jong-nam im Jahr 2017. Barnhart betonte, dass Nordkorea bei diesen Machenschaften immer geschickter geworden ist und oft Einzelpersonen dazu verleitet, an ihrem langjährigen IT-Arbeiterschema teilzunehmen. ## Die AppleJeus-Verbindung Barnhart verfolgte die Ursprünge von **AppleJeus** zurück zu Nordkoreas **APT38**, das sich nach einem hochkarätigen Raubüberfall aus der Zentralbank von Bangladesch im Jahr 2016 abspaltete. US-Beamte, **Microsoft** und **Google** haben wiederholt Warnungen vor Angriffen herausgegeben, die **AppleJeus** zugeschrieben werden. Der Lieferkettenangriff auf das Unternehmens-Telefonunternehmen **3CX** im Jahr 2023 wurde ebenfalls mit derselben Gruppe in Verbindung gebracht. Das Justizministerium und das **FBI** haben erklärt, dass Nordkorea seit mindestens 2018 Websites nutzt, die sich als legitime Kryptowährungshandelsplattformen ausgeben, um Opfer mit **AppleJeus**-Malware zu infizieren. Im Jahr 2024 beobachtete **Microsoft**, wie **Citrine Sleet** die Kryptowährungsbranche mit einer Zero-Day-Schwachstelle im **Chromium**-Browser ins Visier nahm. Das **FBI** hat wiederholt erklärt, dass Nordkorea Milliarden durch seine Kryptowährungsziele generiert und die gestohlenen Gelder zur Finanzierung seines ballistischen Waffenprogramms verwendet. Laut UN-Ermittlern stahlen nordkoreanische Gruppen im letzten Jahr über 2 Milliarden US-Dollar von Krypto-Firmen und zwischen 2017 und 2023 3 Milliarden US-Dollar. Barnhart charakterisierte die **Drift**-Operation als die "anspruchsvollste aller Situationen" aufgrund ihrer langen Dauer und der ausgeklügelten Täuschung. "Die Tatsache, dass der **Drift**-Vorfall die von uns gesehene Größenordnung hat, ist wirklich interessant", schloss Barnhart. "Denn, ich meine, es liest sich wie ein Spionageroman."