Ifølge en grundig postmortem undersøgelse, en nordkoreansk statssponsoreret hacker outfit var ansvarlig for en udnyttelse på $50 millioner, der var målrettet Radiant Capital. Gennem en forfalsket Telegram-chat installerede angriberne, som blev anerkendt som tilhørende UNC4736-trusselsgruppen – også kendt som Citrine Sleet – malware ved hjælp af sofistikerede social engineering-teknikker.
For at få adgang til Radiant Capital udgav hackerne sig for at være en "betroet tidligere entreprenør" og brugte legitimiteten af en etableret forbindelse. De hævdede at have en rapport om Penpie-udnyttelsen, en tidligere hændelse i DeFi-området, i en zippet PDF-fil, som de delte via Telegram. Imidlertid var INLETDRIFT malware, som skabte en bagdør på macOS-systemer, til stede i zip-filen.
Ved at ændre Safe{Wallet}-grænsefladen – tidligere kendt som Gnosis Safe – afslørede dette hack hardware-wallets fra mindst tre Radiant-udviklere. Malwaren udførte svigagtige transaktioner i baggrunden, mens grænsefladen viste gyldige transaktionsdata.
Selvom Radiant Capital brugte industristandard sikkerhedsprocedurer, såsom nyttelastverifikationer og Tenderly-simuleringer, var angriberne ikke desto mindre i stand til at kompromittere adskillige udviklermaskiner.
Mandiant, et cybersikkerhedsfirma, knyttede angrebet til UNC4736, en trusselaktør med tilknytning til DPRK, som har en track record i at drage fordel af bitcoin-virksomheder. Organisationen er også berygtet for at angribe bitcoin-udvekslinger og sprede AppleJeus-malware. Skøn viser, at omkring 3 milliarder dollars blev underslæbt fra kryptovalutaindustrien mellem 2017 og 2023, og det menes, at indtægterne støtter Nordkoreas atomvåbenprogram.
UNC4736 var målrettet mod krypto-fokuserede organisationer tidligere i år ved at bruge en nul-dages sårbarhed i Chromium-browseren og undgik dens sandkassesikkerhed. FBI har gjort opmærksom på koncernens skiftende strategier, som omfatter at udgive sig som it-specialister for at få adgang til finansielle systemer og virksomheder.
Globale finansielle institutioner er i stigende grad under risiko fra nordkoreansk cyberkriminalitet, især inden for kryptovalutaområdet. Forskere ved Cyberwarcon Cybersecurity Conference hævder, at nordkoreanske statssponsorerede hackere har stjålet mere end 10 millioner dollars på kun seks måneder ved at efterligne faktiske arbejdere hos velkendte virksomheder.
Radiant Capital-sagen fremhæver det presserende behov for øget opmærksomhed, sikkerhedsforanstaltninger i flere lag og internationalt samarbejde for at bekæmpe risici fra statsstøttede cyberangreb, mens kryptoindustrien kæmper med stadig mere komplekse udnyttelser.