وفقًا لدراسة تشريحية شاملة، هاكر برعاية الدولة الكورية الشمالية كانت المجموعة مسؤولة عن استغلال بقيمة 50 مليون دولار استهدف Radiant Capital. من خلال محادثة مزيفة على Telegram، قام المهاجمون، الذين تم التعرف عليهم على أنهم ينتمون إلى مجموعة التهديد UNC4736 - المعروفة أيضًا باسم Citrine Sleet - بنشر برامج ضارة باستخدام تقنيات الهندسة الاجتماعية المتطورة.
من أجل الوصول إلى Radiant Capital، تظاهر المتسللون بأنهم "مقاول سابق موثوق به" واستخدموا شرعية اتصال قائم. زعموا أن لديهم تقريرًا عن ثغرة Penpie، وهي حادثة سابقة في منطقة DeFi، في ملف PDF مضغوط شاركوه عبر Telegram. ومع ذلك، كان برنامج INLETDRIFT الخبيث، الذي أنشأ بابًا خلفيًا على أنظمة macOS، موجودًا في ملف zip.
من خلال تغيير واجهة Safe{Wallet} - المعروفة سابقًا باسم Gnosis Safe - كشف هذا الاختراق عن محافظ الأجهزة الخاصة بثلاثة مطورين على الأقل من Radiant. قام البرنامج الخبيث بإجراء معاملات احتيالية في الخلفية بينما أظهرت الواجهة بيانات معاملات صالحة.
وعلى الرغم من أن شركة Radiant Capital استخدمت إجراءات أمنية قياسية في الصناعة، مثل عمليات التحقق من الحمولة ومحاكاة Tenderly، إلا أن المهاجمين تمكنوا مع ذلك من اختراق العديد من أجهزة المطورين.
ربطت شركة مانديانت للأمن السيبراني الهجوم بمنظمة UNC4736، وهي جهة تهديد مرتبطة بجمهورية كوريا الديمقراطية الشعبية ولديها سجل حافل في الاستفادة من شركات البيتكوين. كما تشتهر المنظمة بمهاجمة بورصات البيتكوين ونشر برامج AppleJeus الخبيثة. تشير التقديرات إلى اختلاس حوالي 3 مليارات دولار من صناعة العملات المشفرة بين عامي 2017 و2023، ويُعتقد أن العائدات تدعم برنامج الأسلحة النووية لكوريا الشمالية.
استهدف UNC4736 المنظمات التي تركز على التشفير في وقت سابق من هذا العام من خلال استغلال ثغرة أمنية في متصفح Chromium، والتهرب من أمان صندوق الحماية الخاص به. وقد لفت مكتب التحقيقات الفيدرالي الانتباه إلى استراتيجيات المجموعة المتغيرة، والتي تتضمن التظاهر بأنهم متخصصون في تكنولوجيا المعلومات للوصول إلى الأنظمة المالية والشركات.
تتعرض المؤسسات المالية العالمية بشكل متزايد لخطر الجرائم الإلكترونية التي ترتكبها كوريا الشمالية، وخاصة في مجال العملات المشفرة. ويزعم الباحثون في مؤتمر Cyberwarcon للأمن السيبراني أن قراصنة مدعومين من الدولة الكورية الشمالية سرقوا أكثر من 10 ملايين دولار في غضون ستة أشهر فقط من خلال انتحال هوية عمال حقيقيين في شركات معروفة.
تسلط قضية راديانت كابيتال الضوء على الحاجة الملحة إلى زيادة الوعي، واتخاذ تدابير أمنية متعددة الطبقات، والتعاون الدولي لمكافحة المخاطر التي تشكلها الهجمات الإلكترونية المدعومة من الدولة في الوقت الذي تكافح فيه صناعة التشفير مع الاستغلالات المعقدة بشكل متزايد.