Vol de 280 M$ sur Drift : opération sophistiquée de 6 mois attribuée à UNC4736 (Corée du Nord)

🗓️ Contexte

Source : The Record Media, publié le 10 avril 2026. Drift, une plateforme de cryptomonnaies, a publié un post-mortem complet décrivant une opération de compromission longue de six mois attribuée au groupe nord-coréen UNC4736, également suivi sous les noms AppleJeus et Citrine Sleet.

🎭 Déroulement de l’opération

L’opération a débuté environ six mois avant le vol, lorsque des membres d’une société fictive de trading quantitatif ont approché des contributeurs de Drift lors d’une conférence crypto. Ces individus :

• Disposaient de profils d’identité entièrement construits (historiques professionnels, accréditations publiques, réseaux professionnels)
• Étaient techniquement compétents et avaient une connaissance approfondie de Drift
• N’étaient pas nord-coréens : des intermédiaires (cutouts) ont été utilisés pour les interactions en face-à-face
• Ont rencontré des contributeurs Drift dans plusieurs conférences majeures, dans plusieurs pays

Un groupe Telegram a été créé après la première rencontre. La société fictive a été officiellement intégrée à Drift en décembre 2025 et janvier 2026, déposant 1 million de dollars de capital propre. Les échanges ont continué jusqu’en mars 2026.

💥 L’exploit

Le 1er avril 2026, le vol de 280 millions de dollars a été lancé. Après l’exploit, la société fictive a effacé l’intégralité du chat Telegram avec Drift.

🔍 Vecteurs d’attaque identifiés

• Un contributeur aurait été compromis après avoir copié un dépôt de code partagé par la société fictive
• Un autre contributeur a été incité à télécharger une application TestFlight potentiellement malveillante

👥 Analyse des participants

Selon Michael Barnhart (DTEX, ex-Mandiant), trois individus ont été impliqués :

• Deux semblent avoir été des participants involontaires (unwitting participants)
• Un troisième semble avoir intentionnellement infecté Drift, comme en témoigne la suppression de ses comptes Telegram post-exploit

🔗 Liens avec d’autres opérations

• L’attaque est liée au vol de 50 millions de dollars sur Radiant Capital en octobre 2024 (fonds envoyés vers les mêmes wallets, chevauchement de personas)
• UNC4736/AppleJeus est également attribué à l’attaque supply chain sur 3CX en 2023
• En 2024, Microsoft avait signalé Citrine Sleet exploitant un zero-day sur le navigateur Chromium ciblant l’industrie crypto
• Le DOJ et le FBI avaient signalé dès 2021 l’utilisation de plateformes crypto fictives pour diffuser le malware AppleJeus depuis au moins 2018

📊 Impact global

Selon des enquêteurs de l’ONU, les groupes nord-coréens ont volé plus de 2 milliards de dollars à des entreprises crypto en 2025 et 3 milliards entre 2017 et 2023. Les fonctions de Drift ont été gelées et les wallets de l’attaquant signalés sur plusieurs exchanges et opérateurs de bridge.

📌 Nature de l’article

Cet article est un post-mortem d’incident combiné à une analyse de menace, visant à documenter publiquement une opération APT nord-coréenne d’ingénierie sociale et de compromission de plateforme crypto de grande envergure.

🧠 TTPs et IOCs détectés

Acteurs de menace

• UNC4736 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• AppleJeus (state-sponsored) — orkl.eu · MITRE ATT&CK
• Citrine Sleet (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566 — Phishing (Initial Access)
• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
• T1583 — Acquire Infrastructure (Resource Development)
• T1078 — Valid Accounts (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1588.001 — Obtain Capabilities: Malware (Resource Development)
• T1560 — Archive Collected Data (Collection)
• T1534 — Internal Spearphishing (Lateral Movement)

Malware / Outils

• AppleJeus (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ✅ therecord.media — source reconnue (liste interne) (20pts)
• ✅ 7168 chars — texte complet (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : UNC4736, AppleJeus, Citrine Sleet (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://therecord.media/drift-crypto-theft-post-mortem-north-korea

🖴 Archive : https://web.archive.org/web/20260412084241/https://therecord.media/drift-crypto-theft-post-mortem-north-korea