吴氏によると、セキュリティ研究機関のCtrl-Alt-Intelは、北朝鮮に関連すると疑われるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアのサプライヤー、暗号取引所を標的に攻撃を仕掛けたと明らかにした。攻撃者はReact2Shellの脆弱性（CVE-2025-55182）と取得済みのAWSアクセス証明書を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECRなどのリソースを列挙し、Secrets Manager、Terraformファイル、Kubernetesの設定、Dockerコンテナから鍵や証明書を抽出した。研究者によると、攻撃者は5つのDockerイメージをダウンロードし、ソースコードを窃取した。その中にはChainUpの顧客関連ソフトウェアコンポーネントも含まれている。攻撃のインフラは韓国のサーバー64.176.226[.]36およびドメイン名itemnania[.]comに関係している。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べているが、原因の確定度は中程度であり、AWS証明書の出所は明らかになっていない。