האקרים בחסות הממשל הצפון קוריאני נצפו בפעם הראשונה כשהם משתמשים בכופרה כנגד חברות וארגונים בדרום קוריאה השכנה. משטרת דרום קוריאה מדווחת על יותר מתריסר קניונים מקוונים בדרום קוריאה שהיוו מטרות לכופרה של צפון קוריאה. כמו כן, לפי South China Morning Post, דיווחה משטרת דרום קוריאה על פעילות האקרים אשר כוונה לפחות ל- 893 מומחי מדיניות חוץ במדינה, בניסיון לגנוב את נתוני הזהות ורשימות הדוא"ל שלהם. הקורבנות הראשוניים היו בעיקר מומחים בצוותי חשיבה ופרופסורים, עליהם הופעלו מתקפות דיוג בדוא"ל.
ההאקרים התחזו למזכירים מהמשרד של Tae Yong-ho ממפלגת השלטון העם, או פקיד מהאקדמיה הדיפלומטית הלאומית של קוריאה. האימיילים, שהפצתם החלה כבר באפריל 2022, הכילו קישורים לאתרים זדוניים או נוזקות כקבצים מצורפים. על פי הממצאים, לפחות 49 אנשים נפלו בפח הדיוג ונתנו לתוקפים גישה לחשבונות האימייל שלהם ולנתונים הפרטיים והאישיים שלהם. הדבר הספיק כדי להשיק מתקפות כופרה נגד לפחות 13 חברות (בעיקר קניונים מקוונים), כששתי חברות כבר שילמו כ- 2.5 מיליון וון (קצת פחות מ- 2,000 דולר) כדי להחזיר לעצמן את הגישה למערכות שלהן.
הניסיון לחשוף בדיוק מי עומד מאחורי המתקפות הללו עדיין בעיצומו, כשמשטרת דרום קוריאה טוענת כי ההאקרים השתמשו ב- 326 שרתי מעקף ב- 26 מדינות כדי לטשטש את עקבותיהם. עם זאת, מאמינה המשטרה שהקבוצה היא ככל הנראה אותה קבוצה שתקפה את חברת קוריאה הידרו וכוח גרעיני, עוד בשנת 2014. הטיעונים העיקריים שלפיהם הצפון קוריאנים עומדים מאחורי מתקפה זו כוללים את כתובות ה- IP ששימשו במתקפה, ניסיונותיהם לגרום לקורבנות להיכנס לאתרים זרים, שימוש בדיקציה צפון קוריאנית ובחירת המטרות (מומחים לדיפלומטיה, מומחי ביטחון לאומי והגנה).
