Ezek után adja magát a kérdés, hogy ha nem az oroszok, akkor vajon kik? A legfrissebb hírek szerint egyre biztosabb, hogy Észak-Korea állhatott a háttérben, lévén több nagy biztonsági cég is alaposan megvizsgálta a zsarolóvírus felépítését és kódsorait, amelyek között több ízben is óriási hasonlóságot találtak az észak-koreai Lazarus Group nevű hackercsoport egy korábban használt vírusával.
Aki nem tudná, ezzel a vírussal támadták be akkoriban a Sony Pictures-t, és Bangladesh központi bankjának néhány ügyfelét is alaposan kifosztották a segítségével. Bár a kód azóta nyilván sokat változott, de Neel Mehta, a Google egyik szakértője szerint a WannaCry ugyanolyan funkciókat tartalmaz, mint korábban a Contopee nevű kártevő.
Az ügyben egyébiránt a Kaspersky is vizsgálatot indított - többek között -, akik határozott bizonyítékokat találtak arra, hogy több támadás is észak-koreai IP címről indult, noha sem ez, sem a kódok közti hasonlóság még nem bizonyít semmit egyértelműen.