Pourtant, la Commission coréenne des communications (KCC) a tout d'abord indiqué avoir retrouvé une IP chinoise utilisée pour mener l'attaque mais s'est par la suite rétractée, considérant alors qu'elle pouvait ne pas être le point de départ de l'attaque. Des spécialistes de l'Agence sud-coréenne de sécurité internet (KISA) ont ainsi expliqué à l'AFP que l'adresse IP « correspondait par coïncidence » à une adresse publique en Chine. Le dirigeant de l'organisme a ensuite précisé être : « toujours sur la piste d'adresses IP douteuses que nous soupçonnons d'être basées à l'étranger ».
Toujours est-il que les autorités de Séoul continuent de s'interroger sur les fondements de cette attaque. Certains experts privilégient la piste de hackers nationalistes provenant de Corée du Nord. Ces derniers seraient alors hébergés en Chine, territoire depuis lequel ils auraient été en mesure de lancer leurs offensives.