Así robaron 285 millones de dólares a Drift: quién está detrás y cómo lo hicieron te sorprenderá
Prepararon el ataque durante tanto tiempo que el éxito resultó inevitable
El reciente ataque a la criptoplataforma Drift, en el que los atacantes robaron 285 millones de dólares, no fue un hackeo repentino, sino el resultado de una operación cuidadosamente planeada que se prolongó casi medio año. Detrás de aparentes contactos comerciales habituales se escondía un complejo esquema de infiltración, en el que la confianza se convirtió en la principal herramienta.
Drift, que opera sobre Solana, vinculó el incidente con la agrupación norcoreana UNC4736, también conocida como AppleJeus y Golden Chollima. Según la compañía, la preparación del ataque comenzó ya en el otoño de 2025. Personas que se presentaban como representantes de una firma de trading se relacionaron con miembros del ecosistema en conferencias especializadas y, poco a poco, fueron estableciendo relaciones laborales.
Los contactos parecían convincentes. Los participantes demostraban un profundo conocimiento del mercado, contaban con historias de cubierta detalladas que incluían experiencia laboral y perfiles profesionales activos. Tras los primeros encuentros se creó un grupo en Telegram para discutir integraciones y estrategias de trading. En diciembre los atacantes conectaron su propio vault, invirtiendo más de un millón de dólares: ese paso reforzó la confianza y les permitió afianzarse dentro del ecosistema.
A comienzos de 2026 la comunicación pasó al intercambio de herramientas y código. Según una versión, uno de los desarrolladores compiló el proyecto desde el repositorio entregado, donde en la configuración de Visual Studio Code se ocultaba un mecanismo de ejecución automática de código malicioso. Otro participante subió una versión de prueba de una billetera cripto vía TestFlight. Ambos escenarios podrían haber abierto el acceso a la infraestructura.
Tras el ataque las huellas desaparecieron con rapidez: chats y archivos maliciosos se eliminaron casi de inmediato. Drift señala que la operación se asemejó a una campaña de reconocimiento completa, con personajes preparados de antemano y una logística bien pensada.
Analistas de CrowdStrike habían vinculado anteriormente a Golden Chollima con una serie de ataques contra empresas fintech en distintos países. El grupo actúa de forma sistemática y regular, asegurando el flujo de fondos para los programas estatales de la RPDC.
Al mismo tiempo DomainTools registró cambios en la estructura de las ciberoperaciones norcoreanas. En lugar de un sistema monolítico se configuró un ecosistema distribuido, donde distintos grupos se encargan del espionaje, del robo de fondos y de ataques destructivos. Este enfoque reduce el riesgo de que se revele toda la red si fracasa una operación.
La ingeniería social sigue siendo una herramienta clave. Campañas como Contagious Interview y esquemas con falsos especialistas en TI permiten obtener acceso a empresas mediante contrataciones o tareas de prueba. Para ello se emplea una red internacional de intermediarios y candidatos ficticios, y los salarios a menudo se pagan en criptomoneda.
La historia de Drift muestra hasta qué punto han avanzado estos métodos. En lugar de un ataque desde fuera, los atacantes prefirieron integrarse lentamente en el sistema, usando la confianza y las relaciones profesionales como principal vector de ataque.