発覚の端緒となったのは、採用されたIT担当者が使用していた業務用ノートPCである。監視システムが通常ではあり得ない入力遅延を検知したことから調査が開始された。米国内でのリモート勤務の場合、入力信号の遅れは数10ミリ秒以内に収まるが、該当端末では110ミリ秒以上の遅延が持続していた。詳細な解析の結果、端末が別地点から遠隔操作されていた可能性が浮上し、実際にアリゾナ州に設置された端末を北朝鮮側が操作していたことが確認された。

さらに調査では、北朝鮮関係者の不正就業を仲介していた米国内協力者の存在も判明した。この人物は詐欺行為に関与したとして実刑判決を受けている。また、不自然な英語表現など人的要素の分析も特定に寄与したという。シュミット氏は、特定の脅威を想定して監視を行わなければ発見は困難だったと述べ、明確な警戒方針の重要性を強調した。

FBIも関連機器の押収を進めており、今回の事案は氷山の一角にすぎないとみられる。北朝鮮のみならず、他国による同様の活動が続いている可能性が指摘されており、企業にはより高度で継続的な防御体制の構築が求められている。