Sumber email yang dikirim ke instansi pemerintah atau badan penelitian atas nama kantor kepresidenan Korea Selatan Cheongwadae diduga berasal dari sumber yang telah melakukan peretasan terhadap Perusahaan Hidro dan Nuklir Korea-KHNP pada tahun 2014 lalu. 

Kepala Kepolisian Korea Selatan Kang Shin-myeong menyatakan alamat IP dari pengirim email berasal dari Liaoning, Cina, dan IP itu sama dengan IP yang telah dimanfaatkan saat kasus peretasan KHNP. 

Menurut Komisaris Jenderal Polisi Kang Shin-myeong, email yang dikirim atas nama Cheongwadae dibuat dengan cara 'two track smishing.' Jika penerima email memberi balasan atas email pertama yang tidak mengandung file berbahaya, maka email kedua yang mengandung file berbahaya akan dikirim.