Σύμφωνα με έρευνα της FireEye, οι εισβολείς χρησιμοποίησαν μια ήδη γνωστή ευπάθεια (CVE-2015 – 6585) που διορθώθηκε την προηγούμενη Δευτέρα. Η επίθεση απαιτούσε από τα θύματα να ανοίξουν ένα κακόβουλο αρχείο HPWX.
Το zero-day exploit αποτελούνταν από την διανομή ενός κακόβουλου εγγράφου .hwpx (παρόμοιου με το .docx της Microsoft Office), το οποίο προκαλεί σφάλματα στον Hangul Word Processor ώστε να ανοίξει backdoor στο software.
Σύμφωνα πάλι με την FireEye, αυτή η κεκρόπορτα, ονομάζεται HANGMAN, και δύναται να κλέψει αρχεία και να τα ανεβάσει σε έναν C&C server, ενώ είναι σε θέση να κατεβάσει επίσης και νέα αρχεία από τον υπολογιστή του θύματος.
Το HANGMAN, είναι πολύ καλά σχεδιασμένο, χρησιμοποιεί SSL για να κρυπτογραφήσει την επικοινωνία του με τον C&C server, κρύβοντας την μεταφορά δεδομένων από τα αδιάκριτα βλέμματα.
Αυτό που πρόδωσε το HANGMAN ήταν το ότι κατά την διάρκεια της επικοινωνίας με τον C&C server, η backdoor χρησιμοποίησε ένα IP address που νωρίτερα είχε εντοπιστεί σε προηγούμενο backdoor, το MACKTRUCK.
Επίσης, κάποιες από τις λειτουργίες που χρησιμοποιήθηκαν στον κώδικα του HANGMAN, έμοιαζαν με κάποιες που είχαν χρησιμοποιηθεί στο PEACHPIT.
Απ’ την στιγμή που τα PEACHPIT και MACKTRUCK είχαν ήδη εντοπιστεί σε εκστρατείες που είχαν κοινό στόχο και ενδιαφέρον γύρω από την Νότια Κορέα, το να γίνει η σύνδεση των τριών επιθέσεων με την κυβέρνηση Pyongyang ήταν σχετικά εύκολο.