Un groupe d’acteurs venant de la Corée du Nord, que Microsoft suit sous le nom de Storm-0530 (anciennement DEV-0530), développe et utilise un rançongiciel dans des attaques depuis juin 2021. Ce groupe, qui se dénomme H0lyGh0st, utilise une charge utile de rançongiciel du même nom pour ses campagnes et a réussi à compromettre des petites entreprises dans de multiple pays dès septembre 2021. Microsoft estime que Storm-0530 a des liens avec d’autres groupes basés en Corée du Nord, surveillés en tant que Onyx Sleet (anciennement PLUTONIUM, également connu sous le nom de DarkSeoul ou Andariel). Bien que l’utilisation du rançongiciel H0lyGh0st dans des campagnes soit unique à Storm-0530, Microsoft a observé des liens entre les deux groupes, et a remarqué que Storm-0530 utilisait des outils crées exclusivement par Onyx Sleet.