Основанием для этого вывода послужило использование обеими группами одного и того же IP-адреса (144.172.112.106) в конце июля 2025 года. Первоначально российская группировка действовала через этот сервер, но четыре дня спустя была загружена вредоносная программа Invisiblefert, связанная с Lazarus. Это программное обеспечение соответствовало инструментарию, используемому северокорейскими хакерами, и распространялось с помощью тех же элементов инфраструктуры, которые использовались в предыдущих целенаправленных фишинговых операциях.

Открытие общей хакерской инфраструктуры произошло вскоре после объявления о возобновлении прямого авиасообщения между Москвой и Пхеньяном на фоне активизации сотрудничества между двумя странами. Представители Gen Digital поспешили обвинить Россию в сотрудничестве с властями КНДР в целенаправленных кибератаках.

Хакеры из Gamaredon известны с 2013 года, проводили кибератаки украинские правительственные учреждения, а Lazarus занимались взломом криптовалютных кошельков на миллиарды долларов.