PANews meldde op 9 maart dat beveiligingsonderzoeksbureau Ctrl-Alt-Intel had onthuld dat een groep hackers die verdacht worden van verwantschap met Noord-Korea aanvallen uitvoerde op stakingplatforms, exchangesoftwareproviders en cryptobeurzen. Aanvallers maakten gebruik van de React2Shell-kwetsbaarheid (CVE-2025-55182) en stalen AWS-inloggegevens om cloudomgevingen binnen te dringen, resource-informatie zoals S3 en EC2 te stelen en sleutels te extraheren uit Secrets Manager, Terraform-bestanden, Kubernetes-configuraties en Docker-containers.

Hackers downloadden 5 Docker-images en stalen broncode, waarbij ChainUp-klantsoftwarecomponenten betrokken waren. De aanvalsserver bevond zich in Zuid-Korea (64.176.226[.] 36), met de domeinnaam itemnania[.] com。 Het betrouwbaarheidsniveau van attributie is momenteel middelmatig en de bron van het AWS-credential is niet duidelijk.