Un grupo de actores originarios de Corea del Norte al que Microsoft realiza un seguimiento como Storm-0530 (anteriormente DEV-0530) ha estado desarrollando y utilizando ransomware en ataques desde junio de 2021. Este grupo, que se hace llamar H0lyGh0st, utiliza una carga útil de ransomware con el mismo nombre para sus campañas y ha logrado comprometer a pequeñas empresas en múltiples países ya en septiembre de 2021. Microsoft cree que Storm-0530 tiene conexiones con otro grupo norcoreano conocido como Onyx Sleet (anteriormente PLUTONIUM, alias DarkSeoul o Andariel). Aunque el uso del ransomware H0lyGh0st en las campañas es exclusivo de Storm-0530, Microsoft ha observado comunicaciones entre ambos grupos, así como que Storm-0530 utiliza herramientas creadas exclusivamente por Onyx Sleet.