Analiza incidenata u dva slučaja u Evropi i Aziji koju je sprovela kompanija Kaspersky otkrila je da se VHD ransomver – prvi put pomenut u javnosti u proleće 2020. godine – nalazi u vlasništvu grupe Lazarus, poznate APT grupe iz Severne Koreje. Ovakav plan grupe Lazarus, da kreira i distribuira ransomver, predstavlja promenu strategije i ukazuje na spremnost ulaska u borbu za finansijsku dobit, što je veoma neobično među APT grupama koje sponzoriše država. U martu i aprilu 2020. godine, nekoliko sajber-bezbednosnih organizacija, uključujući kompaniju Kaspersky, izvestilo je o VHD ransomveru – malicioznom programu dizajniranom da iznudi novac od svojih žrtava, što ga je izdvajalo zbog njegove samo-replikacione metode. Korišćenje ovog malvera za širenje koristi u kombinaciji sa poverljivim podacima specifičnim za žrtve podsećalo je na APT kampanje. Dok, svojevremeno, akter koji stoji iza napada nije tačno određen, istraživači kompanije Kaspersky su sa velikom sigurnošću VHD ransomver povezali sa grupom Lazarus nakon analize incidenata u kojima je ransomver u napadu na preduzeća u Francuskoj i Aziji korišćen zajedno sa dobro poznatim alatima grupe Lazarus.
Dve odvojene istrage koje se tiču VHD ransomvera sprovedene su u periodu između marta i maja 2020. godine. Dok prvi incident, do koga je došlo u Evropi, nije naročito ukazivao na to ko stoji iza njega, tehnike širenja malvera slične onima koje koriste APT grupe održavale su zainteresovanost istraživačkog tima. Osim toga, napad se nije uklapao u uobičajeni modus operandi poznatih grupa koje se bore za dobit. Takođe, činjenica da je bio dostupan veoma ograničen broj uzoraka VHD ransomvera – ukombinovana sa malo javnih referenci – ukazivala je na to da se ovom ransomver porodicom ne trguje toliko na forumima crnog tržišta, što bi uobičajeno bio slučaj.