#BinanceNews #Hack #CyberSecurity
Drift hat enthüllt, dass der Angriff vom 1. April 2026, der zum Diebstahl von 285 Millionen Dollar führte, der Höhepunkt einer monatelangen gezielten und sorgfältig geplanten Social-Engineering-Operation war, die von der Demokratischen Volksrepublik Korea (DVRK) unternommen wurde und im Herbst 2025 begann.
Die auf Solana basierende dezentrale Börse beschrieb es als "einen Angriff, der sechs Monate in der Mache war," und schrieb ihn mit mittlerem Vertrauen einer nordkoreanischen staatlich gesponserten Hackergruppe namens UNC4736 zu, die auch unter den Kryptonymen AppleJeus, Citrine Sleet, Golden Chollima und Gleaming Pisces verfolgt wird.
Der Bedrohungsakteur hat eine Historie, die Kryptowährungssektor für finanzielle Diebstähle seit mindestens 2018 ins Visier zu nehmen. Er ist am besten bekannt für den X_TRADER/3CX-Lieferkettenbruch im Jahr 2023 und den $53 Millionen Hack der dezentralen Finanzplattform (DeFi) Radiant Capital im Oktober 2024.
"Die Grundlage für diese Verbindung beruht sowohl auf der Blockchain (Geldströme, die verwendet werden, um diese Operation zu inszenieren und zu testen, stammen von den Radiant-Angreifern) als auch auf operationale (Personas, die in dieser Kampagne eingesetzt wurden, weisen identifizierbare Überschneidungen mit bekannten DPRK-gebundenen Aktivitäten auf)," sagte Drift in einer Analyse am Sonntag.
In einer Bewertung, die Ende Januar 2026 veröffentlicht wurde, beschrieb das Cybersicherheitsunternehmen CrowdStrike Golden Chollima als einen Ableger von Labyrinth Chollima, der hauptsächlich auf Kryptowährungsdiebstahl abzielt, indem er kleine Fintech-Firmen in den USA, Kanada, Südkorea, Indien und Westeuropa ins Visier nimmt.
"Der Gegner führt typischerweise Diebstähle von geringeren Werten in einem konsistenteren operativen Tempo durch, was auf die Verantwortung für die Sicherstellung der Basiseinnahmen für das DPRK-Regime hindeutet," sagte CrowdStrike. "Trotz verbesserter Handelsbeziehungen zu Russland benötigt die DPRK zusätzliche Einnahmen, um ehrgeizige militärische Pläne zu finanzieren, die den Bau neuer Zerstörer, den Bau von atomar betriebenen U-Booten und den Start zusätzlicher Aufklärungssatelliten umfassen."
In mindestens einem Vorfall, der Ende 2024 beobachtet wurde, lieferte UNC4736 bösartige Python-Pakete über ein betrügerisches Rekrutierungsschema an ein europäisches Fintech-Unternehmen. Nachdem der Zugriff erlangt wurde, bewegte sich der Bedrohungsakteur lateral in die Cloud-Umgebung des Opfers, um IAM-Konfigurationen und zugehörige Cloud-Ressourcen zuzugreifen und letztendlich Kryptowährungsvermögenswerte auf von Gegnern kontrollierte Wallets umzuleiten.