Die Ermittler von Drift haben ein detailliertes Bild der Operation zusammengesetzt, die eine bemerkenswerte Parallele zu klassischen Spionagekampagnen der Physik aufweist — nur eben im digitalen Raum. Schon im Herbst 2025 begannen Personen, die sich als Mitarbeiter einer quantitativen Handelsfirma ausgaben, Drift-Mitwirkende auf internationalen Kryptowährungskonferenzen anzusprechen. Dies war kein Zufall: Die nordkoreanischen Akteure hatten systematisch ausgewählte Personen an verschiedenen Orten über sechs Monate hinweg aufgebaut und eine geschäftliche Beziehung etabliert.
Die Infiltratoren verfügten über technische Kompetenz und glaubwürdige Hintergründe. Sie waren nicht selbst nordkoreanische Staatsangehörige, sondern Drittparteien, die von Pjöngjang gesteuert wurden. Nach dem ersten Kontakt wurde eine Telegram-Gruppe eröffnet, in der detaillierte Gespräche über Handelsstrategien und mögliche Integrationen mit dem Drift-Ökosystem stattfanden — ein typisches Szenario für normale Geschäftsbeziehungen in der Kryptobranche.
Zwischen Dezember 2025 und Januar 2026 onboarded die Gruppe dann ein Ecosystem Vault auf Drift. Sie hinterlegten über eine Million Dollar in eigenen Mitteln — ein taktischer Schachzug, der Vertrauen aufbaute und ihre operative Präsenz legitimierte. Die Interaktionen fortsetzend stellten die Agenten detaillierte Produktfragen und teilten verdächtige Links mit Entwicklungswerkzeugen.
Der Angriff erfolgte dann über mehrere potenzielle Vektoren. Eine Hypothese zielt auf ein manipuliertes Visual Studio Code Projekt, das die tasks.json-Datei ausnutzt, um automatisch Schadcode auszuführen. Dieses Verfahren ist bei nordkoreanischen Gruppen bekannt und wurde bereits in der sogenannten “Contagious Interview”-Kampagne seit Dezember 2025 eingesetzt. Microsoft musste daraufhin Sicherheitsmaßnahmen in VS Code 1.109 und 1.110 implementieren.
DomainTools-Analysen zeigen, dass Nordkoreas Cyber-Apparat sich bewusst fragmentiert hat. Lazarus Group konzentriert sich auf Finanzdiebstahl und Ransomware, während Kimsuky Spionage betreibt und Andariel für strategische Störungsoperationen zuständig ist. Dies erschwert Attributionsbemühungen erheblich.
Besonders beunruhigend ist die Erkenntnis, dass Nordkorea ein multinational rekrutiertes Netzwerk von IT-Arbeitern aufgebaut hat — technisch versierte Entwickler aus dem Iran, Syrien, Libanon und Saudi-Arabien, die unter falschen westlichen Identitäten in amerikanischen Unternehmen arbeiten. Sie erhalten Gehälter in Kryptowährungen, umgehen damit Sanktionen und generieren stetige Einnahmen für das Regime. Dieser kreative Umgang mit Cyberkriminalität markiert eine neue Qualität von staatlich gesponserten Angriffen auf die westliche Infrastruktur.