قال ووه إن مؤسسة الأبحاث الأمنية Ctrl-Alt-Intel كشفت أن مجموعة من القراصنة المشتبه في ارتباطها بكوريا الشمالية شنت هجمات على منصات الرهن، ومزودي برامج البورصات، وبورصات التشفير. استغل المهاجمون ثغرة React2Shell (CVE-2025-55182) وبيانات اعتماد AWS التي تم الحصول عليها مسبقًا لاختراق البيئة السحابية، وقاموا بجرد موارد S3 و EC2 و RDS و EKS و ECR، واستخرجوا المفاتيح والبيانات من Secrets Manager وملفات Terraform وتكوين Kubernetes وحاويات Docker. وذكر الباحثون أن المهاجمين قاموا بتنزيل 5 صور Docker وسرقة الشيفرة المصدرية، بما في ذلك مكونات البرامج ذات الصلة بعملاء ChainUp. تتعلق البنية التحتية للهجمات بخوادم في كوريا الجنوبية 64.176.226[.]36 ونطاق itemnania[.]com. وذكر التقرير أن النشاط يتوافق مع سمات هجمات مرتبطة بكوريا الشمالية، لكن درجة الثقة في النسبة إلى المصدر غير واضحة، ولم يتم تحديد مصدر بيانات اعتماد AWS بشكل دقيق.