La empresa FireEye detectó y frenó correos de spear phishing (estafa de correo electrónico dirigida a objetivos concretos) enviados el 22 de septiembre de 2017 a diferentes compañías eléctricas de Estados Unidos por conocidos hackers presuntamente relacionados con el gobierno de Kim Jong Un. Esta acción constituye una fase previa de reconocimiento, y no necesariamente indicativa de un ciberataque inminente y perjudicial que podría llevar meses de preparación para que no sea detectado. La empresa de seguridad basada en la inteligencia detectó previamente grupos, que se sospecha que están vinculados con el gobierno norcoreano y que pueden comprometer la seguridad de centrales eléctricas en Corea del Sur. Estos ataques no condujeron a una interrupción del suministro de energía eléctrica.
Los norcoreanos no utilizaron ninguna herramienta o método específicamente diseñado para comprometer o manipular las redes de Sistemas de Control Industrial (ICS) que regulan el suministro de energía. Además, no se descubrieron evidencias de que hackers ligados a Corea del Norte tengan en la actualidad acceso a semejante.
Los estados nacionales a menudo realizan operaciones de ciberespionaje para recabar datos de inteligencia y prepararse para contingencias, especialmente en momentos de alta tensión. La empresa FireEye detectó más de 20 grupos de ciberamenazas, que se sospecha que están patrocinados por al menos otros cuatro países, que intentan conseguir acceso a objetivos en el sector energético que podrían haber sido usados para provocar interrupciones del servicio. Los pocos ejemplos de alteraciones en las instalaciones del sector de la energía han sido causados por actividades cibernéticas que requieren pasos técnicos y operativos adicionales que estos actores norcoreanos no parecen haber hecho o no han mostrado tener la habilidad para llevarlos a cabo.
En el año 2014, el gobierno surcoreano informó del ataque a una planta de energía gestionada por Korea Hydro and Nuclear Power (KHNP) con un malware de borrado de archivos, ligado potencialmente a hackers norcoreanos. Este incidente no probó la capacidad de interrumpir las operaciones. En su lugar, se filtraron documentos con información sensible de KHNP como parte del esfuerzo para exagerar el acceso que tenían y avergonzar al gobierno surcoreano. Los expertos determinaron que Corea del Norte volvería a usar esta técnica para inspirar miedo y/o cumplir sus objetivos de propaganda interna.
Hasta el momento, las acciones que se sospecha que proceden de Corea del Norte son consecuentes con el deseo de probar una capacidad disuasoria, más que el preludio de un primer ataque no provocado en el ciberespacio. Sin embargo, los hackers vinculados con Corea del Norte son audaces, han lanzado múltiples ataques cibernéticos diseñados para demostrar la fuerza y determinación nacional, y muestran escasa preocupación por un potencial descubrimiento y atribución de sus actividades. Probablemente permanecen comprometidos a conseguir sus objetivos en el sector de la energía, en particular en Corea del Sur y entre Estados Unidos y sus aliados, como un medio de disuasión ante un posible conflicto o sembrar el caos en tiempo de guerra.
El número de Estados que están desarrollando su capacidad de deshabilitar el funcionamiento de centrales eléctricas ha aumentado en los últimos años. En Corea del Norte, incluso comprometer a un nivel limitado la seguridad de las empresas eléctricas, probablemente sería exagerado y aclamado como una victoria por Pyongyang.
Los hackers ligados a Corea del Norte están entre los creadores más prolíficos de amenazas por parte de Estados, atacando no sólo a Estados Unidos y Corea del Sur, sino al sistema financiero mundial. Sus motivaciones varían desde el enriquecimiento económico al espionaje tradicional o al sabotaje, pero todas comparten el sello distintivo de un poder cibernético ascendente dispuesto a violar las normas internacionales con poca consideración por el posible efecto boomerang