Νωρίτερα μέσα στο έτος, ενώ διερευνούσε την επιδημία WannaCry, η ομάδα της Kaspersky Lab επιβεβαίωσε ομοιότητες σε κώδικες που υποδηλώνουν πιθανή σύνδεση μεταξύ της ransomware επίθεσης και της ομάδας ψηφιακής κατασκοπείας Lazarus.
Ενώ η απόδοση των στοχευμένων επιθέσεων είναι περίπλοκη, στις αρχές του 2017, οι ερευνητές της Kaspersky Lab ανακάλυψαν αντικείμενα που δείχνουν μια πιθανή προέλευση από την ομάδα ψηφιακής κατασκοπείας Lazarus κατά τη διάρκεια της έρευνας σχετικά με τη δραστηριότητα του απειλητικού φορέα - μια σύντομη σύνδεση σε server προερχόταν από μία πολύ σπάνια διεύθυνση IP στη Βόρεια Κορέα. Σύμφωνα με τους ειδικούς, αυτό θα μπορούσε να σημαίνει πολλά πράγματα:
- Οι εισβολείς συνδέθηκαν από αυτή τη διεύθυνση IP στη Βόρεια Κορέα
- Ήταν μία προσεκτικά σχεδιασμένη false flag δραστηριότητα κάποιου άλλου
- Κάποιος στη Βόρεια Κορέα επισκέφθηκε τυχαία την command and control διεύθυνση URL
Η Lazarus είναι μια διαβόητη ομάδα κατασκοπείας και δολιοφθοράς που δραστηριοποιείται από το 2009 και είναι υπεύθυνη για μια σειρά τακτικών και καταστροφικών επιθέσεων σε κατασκευαστικές εταιρείες, μέσα ενημέρωσης και χρηματοπιστωτικά ιδρύματα σε τουλάχιστον 18 χώρες σε όλο τον κόσμο. Η ομάδα Lazarus πιστεύεται ότι είναι πίσω από την Wiper επίθεση στη Sony και την κλοπή $81 εκατ. από την Κεντρική Τράπεζα του Μπαγκλαντές τον Φεβρουάριο του 2016.