Eine aus Nordkorea stammende Gruppe von Akteuren, die von Microsoft als Storm-0530 (früher DEV-0530) bezeichnet wird, entwickelt und benutzt seit Juni 2021 Ransomware für Angriffe. Diese Gruppe, die sich selbst H0lyGh0st nennt, verwendet eine Ransomware-Nutzlast mit dem gleichen Namen für ihre Kampagnen und hat bereits im September 2021 erfolgreich kleine Unternehmen in mehreren Ländern kompromittiert. Microsoft geht davon aus, dass Storm-0530 Verbindungen zu einer anderen Gruppe mit Sitz in Nordkorea hat, die unter Onyx Sleet (ehemals PLUTONIUM, auch bekannt als DarkSeoul oder Andariel) erfasst wird. Die Verwendung von H0lyGh0st-Ransomware in Kampagnen ist zwar nur bei Storm-0530 zu beobachten, aber Microsoft hat festgestellt, dass die beiden Gruppen miteinander kommunizieren und Storm-0530 Tools verwendet, die ausschließlich von Onyx Sleet entwickelt wurden.