Nach Darstellung von Drift waren die Personen, die persönlich auftraten, selbst keine Nordkoreaner. Die Regierung habe Mittelsmänner eingesetzt, um den persönlichen Beziehungsaufbau zu betreiben. Die Untersuchung habe gezeigt, dass die in der Operation verwendeten Profile „vollständig konstruierte Identitäten" mit Beschäftigungsverläufen, öffentlich einsehbaren Qualifikationen und beruflichen Netzwerken besaßen — aufgebaut über Monate, um einer Prüfung im Geschäftskontakt standzuhalten.

Nach dem ersten Treffen richtete Drift eine Telegram-Gruppe ein, in der über Monate Handelsstrategien und mögliche Vault-Integrationen besprochen wurden. Offiziell wurde das Unternehmen im Dezember 2025 und Januar 2026 angebunden; es zahlte eine Million Dollar eigenes Kapital bei Drift ein. Die Gespräche liefen bis in den Februar und März 2026 weiter, und Drift-Mitarbeiter trafen die Beteiligten erneut persönlich auf mehreren Branchenkonferenzen. Zu diesem Zeitpunkt bestand die Beziehung bereits fast ein halbes Jahr.

Am 1. April wurde der Diebstahl von 280 Millionen Dollar ausgelöst. Eine erste Prüfung aller betroffenen Geräte führte Drift zurück auf die Kontakte mit dieser Handelsgruppe. Als wichtiges Indiz wertet Drift, dass das Unternehmen den gesamten Telegram-Chat nach dem Angriff löschte. Als mögliche Angriffswege nennt Drift, dass ein Mitarbeiter nach dem Kopieren eines von der Firma geteilten Code-Repositorys kompromittiert worden sein könnte; ein weiterer sei gedrängt worden, eine möglicherweise schädliche TestFlight-Anwendung herunterzuladen.

Ermittler verknüpften den Angriff mit dem Diebstahl von 50 Millionen Dollar bei der Kryptofirma Radiant Capital im Oktober 2024 — auf Basis des Ziels der gestohlenen Gelder und überschneidender Identitäten. Michael Barnhart, Experte für nordkoreanische Cyberoperationen und heute Leiter der Nationalstaaten-Bedrohungsanalyse bei DTEX, sagte gegenüber Recorded Future News, drei Personen seien getäuscht worden, eine davon habe jedoch böswilliger gehandelt. Zwei der drei hätten wohl nicht erkannt, worauf sie sich einließen; einer habe Drift vermutlich vorsätzlich mit dem Schadcode infiziert, was sich daran zeige, dass er anschließend seine Telegram-Konten löschte.

Barnhart verglich den Einsatz der Mittelsmänner mit früheren nordkoreanischen Operationen, etwa der Ermordung von Kim Jong-nam 2017, bei der zwei getäuschte Frauen ihm eine Flüssigkeit — den Nervenkampfstoff VX — ins Gesicht sprühten. „Wir haben Mittelsmänner gesehen, aber noch nie in diesem Ausmaß", sagte er.

US-Behörden, Microsoft und Google warnen seit Langem vor Angriffen von AppleJeus; der Gruppe wird unter anderem der Lieferkettenangriff auf den Telefonanbieter 3CX 2023 zugeschrieben. Justizministerium und FBI erklärten 2021, Nordkorea nutze seit mindestens 2018 vorgeblich legitime Krypto-Handelsplattformen, um Opfer mit AppleJeus-Malware zu infizieren. Googles Threat Analysis Group berichtete 2022 über die Operation, die mehr als 85 Nutzer in der Krypto- und Fintech-Branche ins Visier nahm; 2024 beobachtete Microsoft Citrine Sleet beim Einsatz einer Zero-Day-Lücke im Chromium-Browser.

Nach Angaben des FBI verdient Nordkorea durch Angriffe auf die Kryptobranche Milliarden, teils zur Finanzierung seines Raketenprogramms. Laut UN-Ermittlern stahlen nordkoreanische Gruppen im vergangenen Jahr mehr als zwei Milliarden Dollar von Kryptofirmen und zwischen 2017 und 2023 insgesamt drei Milliarden. Barnhart nannte die Drift-Operation wegen ihres langen Vorlaufs „die ausgefeilteste von allen" — sie lese sich „wie ein Spionageroman".