朝鮮電信功能分3層。大部分普通民眾既沒有互聯網服務，也不能上朝鮮內網，他們只有國內提供商高麗電信(Koryolink)提供的移動電話語音、短信和圖片/視頻消息服務。

包括大學生、科學家和一些政府官員的一小部分人，可以上國有朝鮮內網“光明網(Kwangmyong)”，連接圖書館、大學和政府部門，由有限的國內網站構成。

另一個小得多的群體——統(tǒng)治精英，則可在互聯網上暢通無阻。2017年4月1日至7月6日，事件發(fā)展預測公司 Recorded Future 分析了這一小撮高官的互聯網流量，認為大眾對朝鮮的標準認知不完全準確：至少，其領導階層是與其他地方接軌的。

在7月26號發(fā)布的與 Team Cymru 合著的分析報告中，Recorded Future 指出，朝鮮領導階層的互聯網活動與世界其他地方的互聯網活動幾乎沒有差別。

朝鮮人大部分網上時間也用來查看社交媒體，搜索網頁，瀏覽亞馬遜和阿里巴巴。Facebook是朝鮮人使用最廣泛的社交網站，盡管有報道說推特、YouTube和其他一些社交網站在2016年4月1日被朝鮮審查組織封禁了。

研究人員試圖找出朝鮮互聯網活動與其導彈測試的關聯;然而什么都沒找到。雖然強調研究數據樣本太少而不具確定性，該報告稱：“即便朝鮮網絡活動與導彈測試有關，也不是通過其領導階層和統(tǒng)治精英的互聯網行為透露出來的。”

然而，很明顯的是，基本上沒有任何惡意網絡活動是直接來自朝鮮本土的，“大部分國家支持的活動是在境外作案。”盡管這么做有其優(yōu)勢，但也展現出了操作上的弱點，可被利用來給金家政權施加非對稱壓力。理論上而言，在國界外操作，國家黑客應更容易被檢測到，也更容易被訴要為其行為負責。

大多數海外惡意活動可能來自于朝鮮人出沒較多的國家：印度、馬來西亞、新西蘭、尼泊爾、肯尼亞、莫桑比克和印度尼西亞。中國不在此列，因為中朝關系特殊，且中國與西方的直接合作可能性也較低——即便10%的朝鮮網絡活動都是與中國的互動。

這一比率跟印朝網絡互動比率一比，就相形見絀了。該觀察期內朝鮮與印度的網絡往來幾乎占了其網絡活動的1/5，該數字有力支持了朝鮮與印度間外交和貿易關系日益密切的報道。

因為幾乎沒有惡意活動來自朝鮮本土，該報告不能得出相關網絡威脅的結論。盡管如此，報告稱，“有小部分活動是高度可疑的。其中一個例子，就是5月17號朝鮮用戶開始比特幣挖礦活動了。”

該活動與WannaCry的時間關聯非常明顯。“在5月WannaCry勒索軟件攻擊之后很快就開始了，NSA將WannaCry歸因到朝鮮的情報機構偵察總局(RGB)，視為為金氏王朝籌集資金的舉動。至此(5月17日)，政府黑客們可能已經意識到，從3個WannaCry勒索賬戶轉移比特幣很容易被追蹤，不利于他們保留否認攻擊的立場。”

言下之意就是，比特幣挖礦被選來代替WannaCry勒索軟件沒能收到的資金。不過，喬·卡森提出的WannaCry是比特幣市場操縱手法的思路，也是值得綜合考慮的。

Team Cymru 的情報和 Recorded Future 的分析，揭示了2個獨立的現實。其一，完全隔絕朝鮮的嘗試不會有效。其二，想要對當前金氏王朝造成持久的不利影響，需要有不專注于平壤和朝鮮境內的新工具。這可以通過與目前跟朝鮮有互聯網連接的國家合作來實現，比如印度、馬來西亞、印度尼西亞和新西蘭。

同時，報告建議，金融服務公司和支持美韓薩德部署的各方，以及在半島運營的組織，保持對其網絡及朝鮮半島運營那已升溫的威脅環(huán)境最高程度的警惕與認知。