El actor al que Microsoft realiza un seguimiento como Diamond Sleet es un grupo de actividades con base en Corea del Norte conocido por tener como objetivo los medios de comunicación, la defensa y las industrias de tecnología de la información (TI) a escala mundial. Diamond Sleet se centra en el espionaje, el robo de datos personales y corporativos, la obtención de beneficios económicos y la destrucción de redes corporativas. Se sabe que Diamond Sleet utiliza diversos softwares malintencionados personalizados exclusivos del grupo, los últimos de los cuales son LambLoad, ForestTiger, RollSling y ZetaNile. Diamond Sleet también ha utilizado las redes sociales como principal vector de distribución, mediante phishing de objetivo definido y ataques drive-by. El grupo ha utilizado vulnerabilidades de día cero para la elevación de privilegios y la ejecución remota de código. Otras empresas de seguridad como Lazarus, Black Artemis y Labyrinth Chollima realizan un seguimiento de Diamond Sleet.