En gruppe aktører med oprindelse i Nordkorea, som Microsoft sporer som Storm-0530 (tidligere DEV-0530), har udviklet og brugt ransomware i angreb siden juni 2021. Denne gruppe, som kalder sig H0lyGh0st, bruger en nyttedata med ransomware med samme navn til sine kampagner og har med succes kompromitteret små virksomheder i flere lande så tidligt som i september 2021. Microsoft vurderer, at Storm-0530 har forbindelse til en anden gruppe med forbindelse til Nordkorea, der spores som Onyx Sleet (tidligere PLUTONIUM, også kendt som DarkSeoul eller Andariel). Mens brugen af H0lyGh0st-ransomware i kampagner er unik for Storm-0530, har Microsoft observeret kommunikation mellem de to grupper, samt at Storm-0530 bruger værktøjer, der udelukkende er skabt af Onyx Sleet.