## Infiltração de Meses Leva a Roubo Massivo de Criptomoedas Oficiais da **Drift** detalharam como a operação começou seis meses antes do roubo, quando foram abordados em uma conferência de criptomoedas por indivíduos que alegavam representar uma empresa de trading quantitativo. Esta empresa, ligada à **UNC4736**, um grupo afiliado ao estado norte-coreano também conhecido como **AppleJeus** ou **Citrine Sleet**, iniciou um relacionamento cuidadosamente elaborado. Esses indivíduos, descritos como tecnicamente fluentes e com profundo conhecimento da **Drift**, possuíam "históricos profissionais verificáveis". Investigações revelaram que os operativos norte-coreanos visaram contribuidores da **Drift** em várias conferências importantes do setor em diversos países nos meses seguintes. Crucialmente, os indivíduos que se encontraram pessoalmente com o pessoal da **Drift** não eram cidadãos norte-coreanos, com o governo supostamente usando intermediários para construir confiança e relacionamento. De acordo com a **Drift**, esses operativos terceirizados haviam construído meticulosamente identidades, incluindo históricos de emprego, credenciais públicas e redes profissionais, projetadas para resistir a escrutínio. Os contribuidores da **Drift** engajaram-se em meses de conversas com a suposta empresa de trading através de um grupo no **Telegram**, discutindo estratégias de trading e potenciais integrações de cofres. Essa interação espelhava procedimentos típicos de onboarding para empresas de trading na plataforma **Drift**. A empresa chegou a depositar US$ 1 milhão de seu próprio capital na **Drift** como sinal de boa fé. As discussões de integração continuaram por meses, com reuniões presenciais em conferências do setor solidificando ainda mais o relacionamento. Em 1º de abril, os hackers lançaram seu ataque, roubando US$ 280 milhões. Uma revisão interna dos dispositivos afetados rastreou a intrusão de volta a interações com o grupo de trading enganoso. Um sinal revelador foi a exclusão de todo o histórico de chat do **Telegram** com a **Drift** pela empresa de trading imediatamente após o exploit. Investigações revelaram potenciais vetores de ataque, incluindo um contribuidor comprometido que copiou um repositório de código malicioso compartilhado pela empresa de trading, e outro que foi incentivado a baixar um aplicativo **TestFlight** potencialmente malicioso. A **Drift** está atualmente colaborando com as autoridades e a empresa de cibersegurança **Mandiant** na investigação em andamento. Todas as funções da **Drift** foram congeladas, e as carteiras do atacante foram sinalizadas em várias exchanges e operadoras de bridge. ## Ecos de Ataques Anteriores Investigadores ligaram o ataque à **Drift** ao roubo de US$ 50 milhões da empresa de criptomoedas **Radiant Capital** em outubro de 2024, citando semelhanças nos destinos dos fundos e nas personas usadas durante ambas as operações. Michael Barnhart, um especialista em operações cibernéticas norte-coreanas na **DTEX**, observou a conexão do incidente com outros esquemas de geração de receita orquestrados por Pyongyang. Barnhart destacou o uso de substitutos e intermediários, uma tática que lembra operações norte-coreanas anteriores, incluindo o assassinato de Kim Jong-nam em 2017. Barnhart enfatizou que a Coreia do Norte se tornou cada vez mais adepta desses esquemas, muitas vezes enganando indivíduos para que participem de seu esquema de trabalhadores de TI de longa data. ## A Conexão AppleJeus Barnhart rastreou as origens do **AppleJeus** até o **APT38** da Coreia do Norte, que se fragmentou após um roubo de alto perfil do banco central de Bangladesh em 2016. Autoridades dos EUA, **Microsoft** e **Google** emitiram avisos repetidos sobre ataques atribuídos ao **AppleJeus**. O ataque à cadeia de suprimentos de 2023 à empresa de telefonia corporativa **3CX** também foi ligado ao mesmo grupo. O Departamento de Justiça e o **FBI** afirmaram que a Coreia do Norte tem usado sites disfarçados de plataformas legítimas de trading de criptomoedas para infectar vítimas com malware **AppleJeus** desde pelo menos 2018. Em 2024, a **Microsoft** observou o **Citrine Sleet** visando a indústria de criptomoedas com uma vulnerabilidade zero-day afetando o navegador **Chromium**. O **FBI** declarou repetidamente que a Coreia do Norte gera bilhões através de seu direcionamento a criptomoedas, usando os fundos roubados para financiar seu programa de armas balísticas. De acordo com investigadores das Nações Unidas, grupos norte-coreanos roubaram mais de US$ 2 bilhões de empresas de criptomoedas no ano passado e US$ 3 bilhões entre 2017 e 2023. Barnhart caracterizou a operação **Drift** como a "mais sofisticada de todas as situações" devido à sua linha do tempo estendida e engano elaborado. "O fato de o incidente **Drift** ser da magnitude que estamos vendo é realmente interessante", concluiu Barnhart. "Porque, quero dizer, parece um romance de espionagem."