Trong bài đăng ngày 15/5, Kaspersky Lab nêu chi tiết một đoạn mã dùng trong biến thể ban đầu của WannaCry từ tháng 2/2017 và một mẫu tháng 2/2015 thuộc Lazarus, tổ chức mà Kaspersky cho rằng có dính líu đến chính phủ Triều Tiên. Sự trùng lặp được chuyên gia Neal Mehta của Google nhận thấy đầu tiên và Kaspersky tin sự tương đồng còn vượt cả đoạn mã chung.
“Chúng tôi tin tưởng mạnh mẽ đoạn mã tháng 2/2017 được soạn bởi cùng một người hoặc bởi những người có quyền truy cập vào cùng đoạn mã nguồn với bộ mã hóa WannaCry tháng 5/2017 được dùng trong đợt tấn công ngày 11/5”.
Symantec cũng tìm ra mối liên hệ tương tự nhưng hãng bảo mật cho biết rất khó để nhận ra ý nghĩa của đoạn mã giống nhau. “Dù mối liên hệ có tồn tại, cho đến nay chúng chỉ đại diện cho kết nối yếu ớt. Chúng tôi sẽ tiếp tục điều tra các kết nối mạnh hơn”.
WannaCry hoạt động như một ransomware phạm pháp điển hình và trước khi có các phát hiện kể trên, không có lý do gì để nghi ngờ một nước đứng sau nó. Dạng phân tích mã ban đầu mang tính suy đoán và hoàn toàn có khả năng các tác giả của WannaCry đã lấy một đoạn mã liên quan từ mẫu của Triều Tiên giống như chúng đã lấy mã EternalBlue từ NSA. Ngay cả khi tất cả giả định của Kaspersky là đúng, nó có thể là kết quả từ một vụ xâm phạm dữ liệu nội bộ hơn là hoạt động của chính phủ.