Pohjois-Koreasta lähtöisin oleva ryhmä toimijoita, jota Microsoft seuraa nimellä Storm-0530 (aiemmin DEV-0530), on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien. Itseään nimellä H0lyGh0st kutsuva ryhmä käyttää kampanjoissaan samannimisiä kiristysohjelmatietoja ja on onnistunut vaarantamaan pienyrityksiä useissa maissa jo syyskuussa 2021. Microsoft arvioi, että Storm-0530:lla on yhteyksiä toiseen seurattavaan pohjoiskorealaiseen ryhmään nimeltä Onyx Sleet (aiemmin PLUTONIUM, DarkSeoul tai Andariel). Vaikka vain Storm-0530 käyttää H0lyGh0st-kiristysohjelmaa kampanjoissa, Microsoft on havainnut viestintää näiden kahden ryhmän välillä sekä Storm-0530:n käyttävän Onyx Steelin luomia työkaluja.