L’acteur que Microsoft suit sous le nom de Diamond Sleet est un groupe d’activités basé en Corée du Nord, connu pour cibler les secteurs des médias, de la défense et des technologies de l’information (TI) au niveau mondial. Diamond Sleet se concentre sur l’espionnage, le vol de données personnelles et d’entreprise, le gain financier et la destruction de réseaux d’entreprise. Diamond Sleet est connu pour utiliser une grande diversité de logiciels malveillants personnalisés appartenant exclusivement au groupe, les plus récents étant LambLoad, ForestTiger, RollSling et ZetaNile. Diamond Sleet a aussi utilisé les réseaux sociaux comme principal vecteur de transmission, en pratiquant l’hameçonnage ciblé (spear phishing) et les compromissions de type « drive-by ». Le groupe a utilisé des exploits de type zero-day pour l’élévation de privilège et l’exécution de code à distance. Diamond Sleet est surveillé par d’autres sociétés de sécurité comme Lazarus, Black Artemis et Labyrinth Chollima.