Une investigation conjointe de la police sud-coréenne et de l'armée américaine a permis de remonter jusqu'à l'adresse IP utilisée par les pirates et de la faire correspondre à une IP identifiée en 2014 lors du hacking de l'opérateur d'un réacteur nucléaire en Corée du Sud. L'attaque informatique avait été attribuée à "Kimsuky".
Ce groupe use du hameçonnage, une technique visant à envoyer des pièce-jointes piégées dans des e-mails apparemment inoffensifs, pour soustraire des informations à ses victimes.