Die vollständige Analyse der Drift-Betreiber liest sich tatsächlich wie ein Spionageroman: Nordkoreanische Hacker bauten über Monate hinweg eine Operationsstruktur auf, die nur schwer von legitimen Geschäftsbeziehungen zu unterscheiden war. Die Täter erschienen bei mehreren internationalen Branchenkonferenzen, verfügten über verifiable professionelle Hintergründe und demonstrierten tiefgreifendes technisches Wissen über Drifts Plattform.
Besonders bemerkenswert ist die Strategie der Vermittlung: Die Nordkoreaner selbst erschienen nicht persönlich. Stattdessen setzten sie Strohleute ein – intermediäre Personen, die mit vollständig konstruierten beruflichen Identitäten, Anstellungshistorien und professionellen Netzwerken ausgestattet waren. Diese “Cutouts” wurden so gründlich vorbereitet, dass sie einer intensiven geschäftlichen Überprüfung standhielten.
Nach erstem Kontakt auf einer Konferenz führten Drift-Mitarbeiter mit den angeblichen Tradern Monate lange Diskussionen über Handelsstrategien und Vault-Integrationen. Im Dezember 2025 und Januar 2026 wurde die Gruppe offiziell integriert – mit Depositen von einer Million Dollar Eigenkapital. Neue Treffen fanden bei weiteren Konferenzen statt, was die vermeintliche Legitimität der Beziehung erhöhte.
Am 1. April 2026 folgte dann der Schlag: Der Diebstahl von 280 Millionen Dollar. Ein kritisches Indiz war das sofortige Löschen aller Telegram-Nachrichten durch die Angreifer nach der Aktion.
Die Ermittler identifizierten mehrere Angriffsvektor: Ein Drift-Mitarbeiter könnte einen Code-Repository von der Trading-Firma infiziert bekommen haben. Ein anderer wurde überredet, eine potenziell bösartige TestFlight-Applikation herunterzuladen. Michael Barnhart von DTEX, ein Experte für nordkoreanische Cyberoperationen, weist auf ein interessantes Detail hin: Von drei involvierten Personen waren offenbar zwei unwissentliche Teilnehmer – der dritte habe bewusst Malware eingespielt, wie das Löschen seiner Telegram-Konten nahelegt.
Barnhart vergleicht die Operation mit der Ermordung von Kim Jong-nam 2017, wo Frauen unwissentlich bei einer vermeintlichen Prank-Show ein Nervengift versprühten. Die nordkoreanischen Behörden haben ihre Fähigkeit zur Täuschung und zum Einsatz von Strohleuten offenbar erheblich verfeinert.
Die Drift-Operation wird mit einem früheren Überfall auf Radiant Capital (50 Millionen Dollar im Oktober 2024) verknüpft. Das FBI warnt seit Jahren, dass Nordkorea über Kryptodelikte Milliarden generiert – 2023 allein über zwei Milliarden Dollar. Diese Gelder fließen teilweise in Ballistische-Waffenprogramme.