## Infiltración de Meses Conduce a un Masivo Robo de Criptomonedas Los funcionarios de **Drift** detallaron cómo la operación comenzó seis meses antes del robo, cuando fueron contactados en una conferencia de criptomonedas por individuos que afirmaban representar a una firma de trading cuantitativo. Esta firma, vinculada a **UNC4736**, un grupo afiliado al estado norcoreano también conocido como **AppleJeus** o **Citrine Sleet**, inició una relación cuidadosamente elaborada. Estos individuos, descritos como técnicamente fluidos con un profundo conocimiento de **Drift**, tenían "antecedentes profesionales verificables". Las investigaciones revelaron que los operativos norcoreanos apuntaron a contribuyentes de **Drift** en múltiples conferencias importantes de la industria en varios países durante los meses siguientes. Crucialmente, los individuos que se reunieron en persona con el personal de **Drift** no eran ciudadanos norcoreanos; el gobierno supuestamente utilizó intermediarios para generar confianza y establecer una relación. Según **Drift**, estos operativos externos habían construido meticulosamente identidades, incluyendo historiales de empleo, credenciales públicas y redes profesionales, diseñadas para resistir el escrutinio. Los contribuyentes de **Drift** participaron en meses de conversaciones con la supuesta firma de trading a través de un grupo de **Telegram**, discutiendo estrategias de trading e integraciones potenciales de bóvedas. Esta interacción reflejaba los procedimientos típicos de incorporación para firmas de trading en la plataforma **Drift**. La compañía incluso depositó $1 millón de su propio capital en **Drift** como muestra de buena fe. Las discusiones de integración continuaron durante meses, con reuniones cara a cara en conferencias de la industria que solidificaron aún más la relación. Para el 1 de abril, los hackers lanzaron su ataque, robando $280 millones. Una revisión interna de los dispositivos afectados rastreó la intrusión hasta las interacciones con el grupo de trading engañoso. Una señal reveladora fue la eliminación por parte de la compañía de trading de todo el historial de chat de **Telegram** con **Drift** inmediatamente después del exploit. Las investigaciones revelaron posibles vectores de ataque, incluyendo un contribuyente comprometido que copió un repositorio de código malicioso compartido por la firma de trading, y otro que fue instado a descargar una aplicación potencialmente maliciosa de **TestFlight**. **Drift** está colaborando actualmente con las fuerzas del orden y la firma de ciberseguridad **Mandiant** en la investigación en curso. Todas las funciones de **Drift** han sido congeladas, y las billeteras del atacante han sido marcadas en múltiples exchanges y operadores de puentes. ## Ecos de Ataques Pasados Los investigadores han vinculado el ataque a **Drift** con el robo de $50 millones de la firma de criptomonedas **Radiant Capital** en octubre de 2024, citando similitudes en los destinos de los fondos y las personas utilizadas durante ambas operaciones. Michael Barnhart, un experto en operaciones cibernéticas norcoreanas en **DTEX**, señaló la conexión del incidente con otros esquemas de generación de ingresos orquestados por Pyongyang. Barnhart destacó el uso de sustitutos y intermediarios, una táctica que recuerda a operaciones norcoreanas anteriores, incluido el asesinato de Kim Jong-nam en 2017. Barnhart enfatizó que Corea del Norte se ha vuelto cada vez más hábil en estos esquemas, a menudo engañando a individuos para que participen en su esquema de trabajadores de TI de larga data. ## La Conexión AppleJeus Barnhart rastreó los orígenes de **AppleJeus** hasta **APT38** de Corea del Norte, que se dividió después de un robo de alto perfil del banco central de Bangladesh en 2016. Funcionarios estadounidenses, **Microsoft** y **Google** han emitido advertencias repetidas sobre ataques atribuidos a **AppleJeus**. El ataque a la cadena de suministro de 2023 a la empresa de teléfonos empresariales **3CX** también se vinculó al mismo grupo. El Departamento de Justicia y el **FBI** han declarado que Corea del Norte ha estado utilizando sitios web que se hacen pasar por plataformas legítimas de trading de criptomonedas para infectar a las víctimas con malware **AppleJeus** desde al menos 2018. En 2024, **Microsoft** observó a **Citrine Sleet** atacando a la industria de las criptomonedas con una vulnerabilidad de día cero que afectaba al navegador **Chromium**. El **FBI** ha declarado repetidamente que Corea del Norte genera miles de millones a través de su targeting de criptomonedas, utilizando los fondos robados para financiar su programa de armas balísticas. Según investigadores de las Naciones Unidas, los grupos norcoreanos robaron más de $2 mil millones de firmas de criptomonedas el año pasado y $3 mil millones entre 2017 y 2023. Barnhart caracterizó la operación de **Drift** como la "más sofisticada de todas las situaciones" debido a su línea de tiempo extendida y su elaborada decepción. "El hecho de que el incidente de **Drift** sea de la magnitud que estamos viendo es realmente interesante", concluyó Barnhart. "Porque, quiero decir, parece una novela de espías."