Nach Darstellung von Drift handelte es sich um eine „strukturierte Geheimdienstoperation“, die Monate der Planung erforderte. Etwa ab Herbst 2025 traten Personen, die sich als Mitarbeiter eines quantitativen Handelsunternehmens ausgaben, bei großen und internationalen Kryptokonferenzen an Drift-Mitwirkende heran – unter dem Vorwand, das Protokoll integrieren zu wollen. Über einen Zeitraum von sechs Monaten und in mehreren Ländern bauten sie gezielt Vertrauen zu bestimmten Beitragenden auf.
„Die Personen, die persönlich auftraten, waren keine nordkoreanischen Staatsbürger“, erklärte Drift. DPRK-Akteure dieser Ebene setzten bekanntermaßen Mittelsleute für den persönlichen Beziehungsaufbau ein. Die Auftretenden seien fachlich versiert gewesen, hätten nachprüfbare berufliche Hintergründe gehabt und gewusst, wie Drift funktioniert. Bereits beim ersten Treffen wurde eine Telegram-Gruppe eingerichtet; es folgten monatelange Gespräche über Handelsstrategien und mögliche Vault-Integrationen.
Zwischen Dezember 2025 und Januar 2026 richtete die Gruppe einen Ecosystem Vault auf Drift ein – ein Schritt, der das Ausfüllen eines Formulars mit Strategiedetails erforderte. Dabei stellten die Beteiligten mehreren Mitwirkenden „detaillierte und sachkundige Produktfragen“ und zahlten mehr als eine Million Dollar eigene Mittel ein. Drift wertet dies als kalkulierten Schritt, um eine funktionierende Präsenz im Ökosystem aufzubauen; die Integrationsgespräche liefen bis März 2026 weiter, einschließlich geteilter Links zu angeblich in Entwicklung befindlichen Projekten und Werkzeugen.
Dass diese Kontakte als Einfallstor gedient haben könnten, gewann nach dem Angriff vom 1. April an Bedeutung. Die Telegram-Chats und die Schadsoftware seien jedoch rund um den Zeitpunkt des Angriffs gelöscht worden. Drift vermutet zwei primäre Angriffswege. Der repository-basierte Weg soll ein manipuliertes Visual-Studio-Code-Projekt umfasst haben, das über die Datei „tasks.json“ und die Option „runOn: folderOpen“ beim Öffnen automatisch Schadcode ausführt. Diese Technik wird laut Bericht seit Dezember 2025 von nordkoreanischen Akteuren der Contagious-Interview-Kampagne genutzt; Microsoft führte daraufhin in VS Code 1.109 und 1.110 neue Schutzmaßnahmen ein.
In einer Ende Januar 2026 veröffentlichten Einschätzung beschrieb CrowdStrike Golden Chollima als Ableger von Labyrinth Chollima, der vorrangig kleinere Fintech-Firmen in den USA, Kanada, Südkorea, Indien und Westeuropa angreift. Der Akteur führe eher kleinere Diebstähle in gleichmäßigem Tempo durch, was auf die Aufgabe der Grundfinanzierung des Regimes hindeute. Bei einem Vorfall Ende 2024 lieferte UNC4736 über ein vorgetäuschtes Bewerbungsverfahren bösartige Python-Pakete an ein europäisches Fintech-Unternehmen, bewegte sich anschließend in dessen Cloud-Umgebung und leitete Kryptowerte auf eigene Wallets um.
Parallel berichtete DomainTools Investigations, das nordkoreanische Cyber-Apparat habe sich zu einem „bewusst fragmentierten“ Malware-Ökosystem entwickelt, das Attributionsbemühungen erschwert. DomainTools ordnet dabei den spionageorientierten Strang vor allem Kimsuky zu, die Erzielung illegaler Einnahmen der Lazarus Group, während Ransomware und Wiper-Malware zur strategischen Signalwirkung Andariel zugerechnet werden.
