De recente aanval op Zuid-Koreaanse banken en televisiemaatschappijen waar servers en tienduizenden computers werden gewist, is zeer waarschijnlijk het werk van een professional. Dat stelt anti-virusbedrijf Symantec, dat een verband tussen de aanvallen van 2011 en 2013 ontdekte. Ook in 2011 was Zuid-Korea het doelwit van een DDoS-aanval waarbij er computers werden gewist.

In 2011 was het de Prioxer backdoor die op besmette systemen werd ontdekt, terwijl de Jokra Trojan voor de recente infecties verantwoordelijk is. De 'packer' waarmee Jokra zich tegen analyse door anti-virusbedrijven probeerde te beschermen, is ook gebruikt voor een 'downloader'. Dit is een programma dat aanvullende malware downloadt. Deze downloader heeft ook exemplaren van de Prioxer backdoor gedownload.

Directory
Daarnaast is er een directory in zowel de Prioxer als Jokra malware aangetroffen die overeenkomt. In beide exemplaren werd een 'build string' genaamd 'Z:\\work\Make Troy\' ontdekt. Volgens Symantec is dit bewijs dat beide malware-exemplaren vanuit dezelfde directory zijn gecompileerd.

De gebruikte packer zou zeer beperkt zijn gebruikt en alleen tegen Koreaanse doelen zijn ingezet. Dat zou erop wijzen dat alleen één groep toegang tot deze packer heeft, zo stelt het anti-virusbedrijf.

Professional
Die ziet ook nog in de naam van de directory een aanwijzing dat er een verband tussen de aanvallen van 2011 en 2013 is. "Het is onwaarschijnlijk dat een onafhankelijke activist een map genaamd 'work' gebruikt om zijn Trojaans paard te bewaren. Voor hen is het ontwikkelen van een Trojan geen werk, maar plezier."

Symantec stelt verder dat alleen beroepsmatige programmeurs hun code in een werkmap bewaren. "De implicatie hiervan is dat iemand is betaald of de opdracht heeft gekregen om deze aanvallen uit te voeren, oftewel als aannemer of als werknemer."