ZachXBTによると、ある情報筋が北朝鮮のIT担当者のデバイスをハッキングしたところ、少人数のチームが30人以上の偽IDを使って開発者の職を取得し、政府発行のIDを使ってUpworkやLinkedInのアカウントを購入し、AnyDeskを通じて仕事をしていたことが判明した。データには、Googleドライブのエクスポート、Chromeのプロフィール、スクリーンショットなどが含まれていた。

ウォレットアドレス0x78e1は、2025年6月にFavrrプラットフォームで発生した68万ドル規模の攻撃と密接に関連しています。北朝鮮のIT担当者も新たに特定されています。この攻撃チームは、タスクのスケジュール設定、社会保障番号（SSN）、AIサブスクリプション、VPNの購入にGoogle製品を使用していました。一部の閲覧履歴には、韓国語翻訳にGoogle翻訳を頻繁に使用していたことが示されており、IPアドレスはロシア語でした。リクルーターによる対応の遅れとサービス間の連携不足は、この活動に対抗する上での大きな課題です。