ファイア・アイは2017年9月29日、北朝鮮と思われる攻撃者によるビットコインを狙ったサイバー攻撃が観測されている、と解説するブログ記事(米国で9月11日に公開したブログの抄訳)を公開した。同社のブログでは「北朝鮮への国際制裁が高まる中、国家または平壌のエリート層の資金調達目的で遂行されたと考えられる」としている。
従来、北朝鮮によるものと思われるサイバー攻撃はスパイ活動が中心だったが、2016年以降は金融システムを対象にした攻撃が観測されているという。2017年からは攻撃の第二波として、ビットコインなどの仮想通貨の窃盗を模索し始めた。ファイア・アイは「制裁を回避しつつ国際決済通貨を得て政府の資金源とするため」と分析している。仮想通貨が狙われるのは、規制が発展途上でマネーロンダリング対策が不十分な取引所があるからだ。
ファイア・アイの解説によると、北朝鮮と思われる攻撃者は、2017年5月初旬に韓国の仮想通貨取引所へのスピアフィッシング攻撃を開始した。同5月下旬には仮想通貨取引所へのスピアフィッシング攻撃は不正アクセスへと発展した。7月初旬には個人アカウントへのスピアフィッシング攻撃により韓国の仮想通貨取引所が標的にされた。
