1998年に当時の金正日総書記の指示によって偵察総局内に中核サイバー部隊121部隊が設立されてから攻撃が活発になった。
韓国の非営利組織ＮＫ知識人連帯の代表を務める脱北者の金興光氏はサイバー部隊に勤務するのは北朝鮮の全土から選抜されたエリート集団という。
成績に秀でた生徒を平壌の科学英才学校金星第一、同第二に集め、徹底したＩＴ教育を施す。
そこから金氏が勤務していた咸興コンピューター技術大や国防大などに進学。
毎年500人程度がサイバー兵士と なり、現在は推計7000人に達する。
一般の人は住めないマンションが与えられ、技術を磨くために海外にも行き来できる。
読みたい本や使いたいコンピューターも取り寄せられる。
首席クラスで卒業すれば地方から家族を平壌に呼び寄せ、朝鮮労働党への入党資格も得られる。
システム分析、暗号処理といった分業体制に基づき、作戦に応じてチームを編成する。
中国の丹東、瀋陽、長春、青島などを拠点にインターネットカフェなどから攻撃を仕掛ける。
出稼ぎ労働者に偽装してマレーシアなどでも活動する。
北朝鮮のサイバー攻撃能力は他国と比べ中レベルとの評価が一般的だ。
専門家の間では攻撃力は米国や中国に劣り、イランと同程度との分析がある。
米シマンテックのビクラム・タ クール氏は今回のウイルスを解析した結果、開発した人物の技能レベルは中の下と判定する。
ただ、開発能力の不足はサイバー犯罪集団の間で一般的に知られる攻撃プログラムを入手して補う。
今回はネット上に流出した米国家安全保障局開発の技術を活用して爆発的なウイルス感染につなげた。
攻撃の狙いは一般的には外貨の獲得とみられている。