Die Attacke auf Internetserver südkoreanischer Rundfunkanstalten und Banken stammt womöglich aus dem eigenen Land. Wie der Vizepräsident der Behörde für Internetsicherheit (KISA), Lee Jae Il, bekannt gab, stammt die IP-Adresse des Angriffs aus einer der betroffenen Banken. Zuvor war vermutet worden, dass der Angriff aus Nordkorea oder China kam. Die zuständigen Ermittler zogen diese Vorwürfe jedoch zurück.

Ungeklärt ist noch, ob die südkoreanische IP-Adresse von Hackern aus dem Ausland genutzt wurde. Die staatliche Behörde teilte mit, der Schadcode hätte auch über Umwege durch andere Länder eingeschleust werden können.

Neben dem Netzwerk von Nonghyup waren bei der Attacke auch Tausende Computer bei den Sendern KBS, MBC, beim Nachrichtenkanal YTN sowie bei der Shinhan Bank und Jeju Bank lahmgelegt worden. Die Programme der Sender liefen weiter. Jedoch war der Internetzugang auf den mit dem Schadcode infizierten Computern blockiert.

Zu den Vorwürfen gegen China sei es gekommen, weil die ermittelte IP-Adresse aus der Nonghyup Bank zufällig identisch mit einer öffentlichen chinesischen Adresse sei, teilten die Ermittler mit. Zuvor wurden außerdem unbekannte Angreifer aus Nordkorea verdächtigt. Das Nachbarland soll in den vergangenen Jahren eine Reihe von Cyberangriffen auf Websites von Behörden und Finanzinstituten des Landes unternommen haben. Zuletzt hatte Nordkorea seinerseits indirekt Südkorea und die USA für angebliche Attacken auf seine Computernetzwerke verantwortlich gemacht.