Μια ομάδα παραγόντων με καταγωγή από τη Βόρεια Κορέα που η Microsoft παρακολουθεί ως Storm-0530 (πρώην DEV-0530) αναπτύσσει και χρησιμοποιεί ransomware σε επιθέσεις από τον Ιούνιο του 2021. Αυτή η ομάδα, η οποία αυτοαποκαλείται H0lyGh0st, χρησιμοποιεί ένα ωφέλιμο φορτίο ransomware με το ίδιο όνομα για τις εκστρατείες της και έχει θέσει σε κίνδυνο τις μικρές επιχειρήσεις σε πολλές χώρες ήδη από τον Σεπτέμβριο του 2021. Η Microsoft εκτιμά ότι το Storm-0530 έχει συνδέσεις με μια άλλη ομάδα με έδρα τη Βόρεια Κορέα που παρακολουθείται ως Onyx Sleet (πρώην PLUTONIUM, γνωστή ως DarkSeoul ή Andariel). Ενώ η χρήση του H0lyGh0st ransomware σε εκστρατείες είναι μοναδική για το Storm-0530, η Microsoft έχει παρατηρήσει τις επικοινωνίες μεταξύ των δύο ομάδων, καθώς και το Storm-0530 χρησιμοποιώντας εργαλεία που δημιουργήθηκαν αποκλειστικά από το Onyx Sleet.