קבוצה של גורמים שמקורם בקוריאה הצפונית אשר Microsoft עוקבת אחריהם, כגון Storm-0530 (נקראה בעבר DEV-0530) פיתחו תוכנת כופר והשתמש בה במתקפות מאז יוני 2021. קבוצה זו, שקוראת לעצמה H0lyGh0st, משתמש בתוכן מנה של תוכנת כופר בעת שם זהה עבור הקמפיינים שלה וחשפה לסכנה עסקים קונים במדינות רבות עוד מספטמבר 2021. Microsoft מעריכה של- Storm-0530 יש קשרים לקבוצה אחרת שממוקמת בקוריאה הצפונים ונמצאת תחת מעקב, כגון Onyx (נקראה בעבר PLUTONIUM, שידועה גם בשם DarkSeoul או Andariel). בעוד שהשימוש בתוכנת הכופר H0lyGh0st בקמפיינים הוא ייחודי ל- Storm-0530, ‏Microsoft צפה העברת מסרים בין שתי הקבוצות, וכן צפה ב- Storm-0530 משתמשת בכלים שנוצרו באופן בלעדי על-ידי Onyx Sleet.