Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken. Diamond Sleet nutzt bekanntermaßen verschiedene maßgeschneiderte Schadsoftware, die nur von dieser Gruppe eingesetzt wird. Die neuesten sind LambLoad, ForestTiger, RollSling und ZetaNile. Diamond Sleet hat auch soziale Netzwerke als primären Übertragungsweg genutzt, um Spear-Phishing zu betreiben und Drive-by-Angriffe durchzuführen. Die Gruppe nutzte Zero-Day-Exploits zur Erlangung erweiterter Rechte und zur Ausführung von Remotecode. Diamond Sleet wird von anderen Sicherheitsunternehmen unter den Namen "Lazarus", "Black Artemis" und "Labyrinth Chollima" beobachtet.