Cryptobedrijven waren het daadwerkelijke doelwit van de aanval op it-dienstverlener JumpCloud, zo laten bronnen tegenover persbureau Reuters weten. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken. Eerder deze maand liet JumpCloud weten dat het te maken had gekregen met een "lopend incident".

Een week later meldde het bedrijf dat het om een aanval door een "statelijke actor" ging gericht tegen een "klein aantal specifieke klanten". Details werden niet gegeven, behalve dat de aanvallers door middel van spearphishing toegang tot de systemen hadden gekregen. Via de gecompromitteerde systemen werden vervolgens klanten aangevallen. Na ontdekking van de aanval besloot JumpCloud om alle admin API-keys die klanten voor het beheer gebruiken te roteren.

Tegenover Reuters stelt het bedrijf dat minder dan vijf klanten door de aanval zijn getroffen. Om wat soort klanten het gaat en welk land achter de aanval zit laat een woordvoerder niet weten. Securitybedrijf CrowdStrike, dat onderzoek naar de aanval doet, stelt dat een groep genaamd "Labyrinth Chollima" verantwoordelijk is, wat weer een subgroep van de Lazarus Group is. Deze groep zou vanuit Noord-Korea opereren en in het verleden banken en cryptobedrijven hebben aangevallen. Ook securitybedrijf SentinelOne stelt in een analyse dat de aanval het werk van een Noord-Koreaanse groep is.