PANewsは8月13日、ZachXBTの情報筋が北朝鮮のIT担当者のデバイスをハッキングし、少人数のチームが30以上の偽IDを使って開発者の職を取得し、政府発行のIDを使ってUpworkとLinkedInのアカウントを購入し、AnyDeskを通じて仕事をしていたことを明らかにしたと報じた。関連データには、Googleドライブのエクスポート、Chromeのプロフィール、スクリーンショットなどが含まれていた。

ウォレットアドレス0x78e1は、2025年6月にFavrrプラットフォームで発生した68万ドル規模の攻撃と密接に関連しています。北朝鮮のIT担当者も新たに特定されています。この攻撃チームは、タスクのスケジュール設定、社会保障番号（SSN）の購入、AIサブスクリプション、VPNなどにGoogle製品を使用していました。一部の閲覧履歴には、韓国語翻訳にGoogle翻訳を頻繁に使用していたことが確認されており、IPアドレスはロシア語でした。リクルーターによる対応の遅れとサービス間の連携不足が、この活動に対抗する上での大きな課題となっています。