Aanvallers hebben een getrojaniseerde software-update gebruikt om de persoonsgegevens van 35 miljoen Koreanen te stelen. De malware werd geüpload naar een server van het bedrijf ESTsoft. Hiervoor misbruikten de aanvallers een kwetsbare DLL-module waarmee ESTsoft updates naar 25 miljoen abonnees verstuurt. Het bedrijf is onder andere de ontwikkelaar van de populaire virusscanner AlYak.

De malware werd vervolgens naar websites van SK Communications gestuurd, waaronder de sociale netwerksite Cyworld en zoekmachine Nate. De aanvallers wisten vervolgens bij SK Communications de gegevens van 35 miljoen gebruikers te stelen, waaronder namen, telefoonnummers, e-mailadressen, burgerlijke registratienummers en wachtwoorden. De registratienummers en wachtwoorden zouden zijn versleuteld.

Volgens de Koreaanse politie heeft de aanval via ESTsoft plaatsgevonden. Het bedrijf heeft inmiddels een waarschuwing afgegeven dat aanvallers een backdoor genaamd "SOGU" hadden geüpload. Er is nu een patch uitgebracht die gebruikers van de software kunnen installeren.