经调查，自称黑客入侵韩国水力原子能（简称韩水原）泄露核电站资料等的“核电站反对集团”在中国沈阳200多次联网，因此这次犯罪行为系朝鲜所为的可能性正在进一步增加。 　

据悉，在位于中国东北三省的沈阳市内，活动着大量朝鲜侦察总局的黑客高手。公安当局掌握的情报显示，朝鲜数年前就以沈阳为据点，派遣网络要员，进行对韩网络攻击。对此，法务部长黄教安出席12月24日的国会法制司法委员会全体会议时也表示“我们正在调查是否是系朝鲜所为”。 　

首尔中央地方检察厅个人信息犯罪政府联合调查团（团长李正洙）24日表示“我们对核电站反对集团本月15日第一次在NAVER上上传帖子时留下的IP和连接记录进行了调查，结果显示是中国沈阳的虚拟专用网络(VPN)企业下属的20～30个IP地址200多次联网”，“犯罪分子通过中国VPN企业→韩国国内三家VPN企业在韩国国内网站上上传帖子”。 　

核电站反对集团利用NAVER、NATE和推特ID，在15日公布了警告性帖子，之后从17日至24日公开了核电站设计图纸等资料。机密技术“安全解析编码(SPACE)”也包括在内。该集团威胁称“如果到圣诞节(12月25日)不停止启动古里核电站1、3号机组和月城1号机组，将公开10万页的资料，进行第二轮破坏”。 　

检方已请求中国公安方面提供司法协助，以便确认中国VPN企业的用户信息。检方负责人表示“犯罪分子两年前就加入了VPN，进行了长期的精密准备”。 　

核电站反对集团在上传的帖子中使用了朝鲜式表达，这也增加了系朝鲜所为的可能性。他们在15日的NAVER帖子中将矛头指向韩水原的赵石（57岁）社长，称“推卸责任，还不是菩萨，只是追究下面的员工责任，这像话吗？”而在21日的推文中写道“青瓦台至今还不是菩萨”。这里的“还不是菩萨”意为“装蒜”。