國家級駭客彼此互通有無，交換戰術及共享惡意程式的情況相當常見，但如今有國家級駭客與網路犯罪生態圈打交道的情況，引起研究人員的注意。

資安業者Palo Alto Networks表示，他們確認外號為Onyx Sleet、Jumpy Pisces的北韓駭客組織Andariel，參與了近期的勒索軟體Play攻擊行動，這樣的情況代表該組織的策略出現變化，針對這樣的現象，研究人員指出，此為這批人馬首度運用現有的勒索軟體基礎設施情況，後續動態相當值得留意。

針對這樣的現象，研究人員推測，很有可能Andariel部分派系正與經營勒索軟體Play的駭客團體Fiddle Scorpius進行合作，有可能是成為Play的附屬組織，或是擔任初始入侵掮客（Initial Access Broker，IAB）的角色。

該公司察覺兩組人馬結盟的關鍵，在於今年9月協助遭受勒索軟體Play攻擊的客戶進行事故調查過程，發現Andariel於5月使用外流的帳密資料取得初始入侵的權限，後來使用滲透測試工具Sliver及他們打造的惡意軟體DTrack，藉由SMB通訊協定進行橫向移動，並在受害企業的網路環境持續活動。

攻擊者使用遠端連線工具與C2伺服器通訊的情況，持續到9月初，最終受害組織被植入勒索軟體。

研究人員目前無法確認Andariel與Fiddle Scorpius的合作關係，但這樣的情況仍值得留意，因為這是北韓政府資助的駭客與勒索軟體駭客組織首度有合作的記錄，代表著北韓駭客很有可能廣泛投入勒索軟體活動，而引發更為廣泛、更具破壞性的危害。