Giám đốc Cơ quan cảnh sát quốc gia Hàn Quốc Kang Shin-myung hôm 18/1 công bố kết quả điều tra cho thấy địa chỉ IP email có nội dung giả danh Phủ Tổng thống được gửi tới một loạt các cơ quan Nhà nước vào tuần trước là ở tỉnh Liêu Ninh, Trung Quốc. 
 
Địa chỉ IP phát hiện được lần này giống địa chỉ IP từng được dùng trong vụ tin tặc tấn công hệ thống máy tính của Công ty thủy điện và điện hạt nhân Hàn Quốc (KHNP) làm rò rỉ bản vẽ về nhà máy điện nguyên tử vào cuối năm 2014. Khi đó, nhóm điều tra chung của Chính phủ đã kết luận rằng nhóm tin tặc Bắc Triều Tiên chính là thủ phạm.
 
Giám đốc Kang cho rằng vụ tấn công lần này được thực hiện theo phương thức thức ""two-track smishing" qua email. Đây là phương thức tấn công bằng cách không cấy mã độc trong email gửi đi đầu tiên, làm cho người nhận yên tâm, sau đó nếu người nhận có phản ứng như trả lời thì tiếp tục gửi email thứ hai có chứa mã độc.
 
Trong hai ngày 13/1 và 14/1, một lượng lớn email giả danh Phủ Tổng thống có nội dung thăm dò ý kiến về động thái thử nghiệm hạt nhân lần thứ tư của Bắc Triều Tiên đã được gửi tới các cơ quan Chính phủ và các viện nghiên cứu chính sách quốc gia của Hàn Quốc. Trong hai ngày 13/1 và 14/1, một lượng lớn email giả danh Phủ Tổng thống có nội dung thăm dò ý kiến về động thái thử nghiệm hạt nhân lần thứ tư của Bắc Triều Tiên đã được gửi tới các cơ quan Chính phủ và các viện nghiên cứu chính sách quốc gia của Hàn Quốc.