На пресс-конференции представитель KAERI сообщил, что вторжение произошло в прошлом месяце 14 мая из-за уязвимости в сервере виртуальной частной сети (VPN). Было замечено, что тринадцать различных IP-адресов злоупотребляют уязвимостью и получают доступ к внутренней сети организации. Один из этих IP-адресов был связан с инфраструктурой, используемой северокорейской кибершпионажной группой Kimsuky.

Название поставщика VPN-сервера было отредактировано в документах, представленных южнокорейской прессе сегодня на пресс-конференции KAERI.

KAERI провела пресс-конференцию сегодня после того, как новости о взломе попали к репортерам, и агентство подверглось критике за то, что изначально отрицало данный инцидент. В пресс-релизе, размещенном на его веб-сайте после пресс-конференции, агентство извинилось за свое первоначальное опровержение взлома. Новости о взломе KAERI появились после того, как компания, занимающаяся кибербезопасностью Malwarebytes опубликовала отчет, раскрывающий фишинговую кампанию Kimsuky, нацеленную на несколько южнокорейских государственных структур, а также на сотрудника по ядерной безопасности Международного агентства по атомной энергии (МАГАТЭ).

Все северокорейские кибершпионажные группы, и не только Kimsuky, исторически интересовались ядерной энергией и объектами, связанными с ядерным оружием, в первую очередь из-за неоднозначной ядерной программы страны.