Skupina aktérů ze Severní Koreje, kterou Microsoft eviduje jako Storm-0530 (dříve DEV-0530), prochází od června 2021 vývojem a používá k útokům ransomware. Tato skupina, která sama sebe nazývá H0lyGh0st, používá ve svých kampaních škodlivou činnost virů ransomwaru se stejným jménem a už od září 2021 úspěšně napadá malé firmy v mnoha zemích. Dle Microsoftu má Storm-0530 spojence v další skupině ze Severní Koreje, která je evidována jako Onyx Sleet (dříve PLUTONIMU, DarkSeoul nebo Andariel). Použití ransomwaru H0lyGh0st v kampaních je typické pro Storm-0530, ale Microsoft z komunikace mezi těmito dvěma skupinami zjistil, že Storm-0530 používá také nástroje vyvinuté výhradně skupinou Onyx Sleet.