La firma de investigación en seguridad Ctrl-Alt-Intel ha revelado que un grupo de hackers, sospechoso de estar vinculado a Corea del Norte, ha lanzado ataques contra plataformas de staking, proveedores de software de intercambio y exchanges de criptomonedas. Los atacantes explotaron la vulnerabilidad React2Shell (CVE-2025-55182) y utilizaron credenciales comprometidas de AWS para infiltrarse en entornos en la nube. Enumeraron recursos como S3, EC2, RDS, EKS y ECR, extrayendo claves y credenciales de Secrets Manager, archivos Terraform, configuraciones de Kubernetes y contenedores Docker. Se informa que los hackers descargaron cinco imágenes Docker y robaron código fuente, incluyendo componentes de software relacionados con clientes de ChainUp. La infraestructura del ataque involucró un servidor en Corea del Sur con la dirección IP 64.176.226[.]36 y el dominio itemnania[.]com. Aunque las actividades coinciden con patrones de ataque conocidos de Corea del Norte, la confianza en la atribución es moderada y el origen de las credenciales de AWS sigue siendo desconocido.