De Amerikaanse geheime dienst NSA, en opsporingsdienst FBI, samen met de Zuid-Koreaanse inlichtingendienst, waarschuwen voor spionage door een vanuit Noord-Korea opererende groep die het op denktanks, academici en mediaorganisaties heeft voorzien (pdf). De aanvallers doen zich voor als bekende journalisten, medewerkers van denktanks en televisieprogramma's en proberen zo hun doelwit malafide bestanden te laten openen.

De initiële e-mail, vaak verstuurd vanaf domeinnamen die lijken op die van de organisatie die de aanvallers imiteren, bevatten geen links of bijlagen. Zo wordt geprobeerd om het vertrouwen van het doelwit te winnen, aldus de waarschuwing. Zodra het contact is gelegd sturen de aanvallers een bijlage of link die zogenaamd een rapport of nieuwsartikel zou zijn of hiernaar wijst.

Het gaat in werkelijkheid om malafide documenten voorzien van macro's. Om detectie door antivirussoftware te voorkomen zijn de documenten vaak met een wachtwoord beveiligd. Wanneer doelwitten de macro's inschakelen wordt er malware geïnstalleerd. De NSA, FBI en Zuid-Koreaanse inlichtingendienst adviseren dan ook om geen macro's in de documenten in te schakelen, tenzij de bron is geverifieerd.

Dat geldt ook voor het openen van documenten in de cloud waarnaar in e-mails wordt gelinkt. Dit wordt ook afgeraden, tenzij wederom de bron is geverifieerd. Tevens hebben de Amerikaanse autoriteiten een beloning van 5 miljoen dollar uitgeloofd voor informatie over het cyberspionageprogramma van de Noord-Koreaanse overheid.