Ta je zodpovědná za sérii velkých útoků na vládní organizace, média a finanční instituce. Mezi její největší operace patřily útoky proti Sony Pictures v roce 2014 a kybernetická loupež v centrální bance Bangladéše v roce 2016 a také únorový atak na finanční instituce v Polsku.
I když není úplně jasné, kdo za skupinou stojí, někteří analytici zmiňují severní Koreu kvůli neobvyklé komunikaci s tamějšími IP adresami, důkazy o propojení této země s útoky nicméně neexistují.
Odborník z Googlu poukázal na část malwaru WannaCry, který útočil v únoru 2017, tedy dva měsíce před současnou vlnou útoků. Experti týmu GReAT z Kaspersky Lab tyto informace analyzovali a následně potvrdili jasné podobnosti mezi kódem, na který poukázal zástupce Googlu, a částí malwaru, využitého skupinou Lazarus v útocích z roku 2015.
Kaspersky Lab ale připomíná, že se v případě této podobnosti může jednat o záměrnou falešnou stopu (false flag). Porovnali ale část kódu, která se objevila v únoru 2017 s částí malwaru WannaCry, který byl využit k současným útokům.
Zjistili přitom, že část kódu poukazující na skupinu Lazarus byla odstraněna z aktuálně použitého malwaru WannaCry. Tento krok tak může být pokusem o zahlazení stop vedoucích ke strůjcům kampaně WannaCry.
Tato podobnost sama o sobě neposkytuje dostatečně přesvědčivý důkaz o napojení ransomwaru WannaCry na skupinu Lazarus. Může ale vést k dalším zjištěním, která přinesou více informací o původu WannaCry, který je doposud záhadou, dodává David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.