Egy észak-koreai eredetű szereplőkből álló csoport, amelyet a Microsoft Storm-0530 (korábban DEV-0530) néven követ nyomon, 2021 júniusa óta fejleszt és használ a támadásaiban zsarolóvírusokat. Ez az önmagára H0lyGh0st néven hivatkozó csoport egy ugyanilyen nevű kártékony kódot alkalmaz zsarolóvírusként a kampányaiban, és már 2021 szeptemberétől kezdve sikeresen feltörte a világ több országában működő kisvállalatok rendszereit. A Microsoft felmérése szerint a Storm-0530 kapcsolatban áll egy másik észak-koreai csoporttal, amelyet Onyx Sleet néven (korábban PLUTONIUM, más néven DarkSeoul vagy Andariel) követ nyomon. Míg a H0lyGh0st zsarolóvírus kampányokban való felhasználása csak a Storm-0530 csoportra jellemző, a Microsoft kommunikációt észlelt a két csoport között, és azt figyelte meg, hogy a Storm-0530 olyan eszközöket használ, amilyeneket kizárólag az Onyx Sleet készít.