Según el análisis de Drift, el ataque fue llevado a cabo utilizando varias herramientas técnicas. Se presume que el dispositivo de uno de los miembros del equipo pudo haber sido comprometido después de clonar el repositorio de código proporcionado por los atacantes, supuestamente para el desarrollo frontend. Otro miembro del equipo, se cree, infectó su dispositivo al descargar la aplicación TestFlight, presentada por los atacantes como una aplicación de billetera. Además, se considera la posibilidad de que se hayan explotado vulnerabilidades en VSCode y en los cursores, las cuales se espera que sean aprovechadas entre finales de 2025 y principios de 2026. El hecho de que todos los registros de conversaciones y el malware perteneciente a los atacantes hayan sido eliminados de inmediato durante el ataque es un detalle importante que demuestra una planificación meticulosa y un alto nivel de profesionalismo en la operación. En su evaluación de las personas responsables del ataque, la compañía afirmó que los datos obtenidos están relacionados con la brecha en Radiant Capital en 2024 con un alto grado de certeza. Se sabe que este ataque fue realizado por un grupo previamente identificado como UNC4736 y vinculado a Corea del Norte. Drift señaló que las personas que realizaron reuniones presenciales durante la operación quizás no eran ciudadanos directos de Corea del Norte, pero estos grupos patrocinados por el estado suelen usar intermediarios para establecer contacto físico. Tras el ataque, Drift Protocol anunció la suspensión temporal de todas las funciones críticas del protocolo y la eliminación de las billeteras comprometidas de la arquitectura de firma múltiple. Se informó que las direcciones de los atacantes fueron marcadas por exchanges y operadores de puentes, y que están trabajando con Mandiant en el análisis técnico del incidente. La compañía declaró que las investigaciones forenses con dispositivos aún continúan y que los nuevos resultados serán publicados a medida que estén disponibles.