Kelompok pelaku ancaman dari Korea Utara yang dilacak Microsoft sebagai Storm-0530 (sebelumnya DEV-0530) telah mengembangkan dan menggunakan ransomware dalam serangan mereka sejak Juni 2021. Kelompok yang menamai dirinya sebagai H0lyGh0st ini menggunakan payload ransomware dengan nama yang sama untuk kampanyenya dan telah berhasil menyusupi bisnis kecil di banyak negara pada awal September 2021. Penilaian Microsoft menunjukkan bahwa Storm-0530 memiliki hubungan dengan kelompok lain yang berbasis di Korea Utara yang dilacak sebagai Onyx Sleet (sebelumnya PLUTONIUM, disebut juga sebagai DarkSeoul atau Andariel). Meskipun penggunaan ransomware H0lyGh0st dalam kampanye hanya ditemukan pada serangan dari Storm-0530, Microsoft telah menemukan adanya komunikasi antara kedua kelompok. Selain itu, Storm-0530 menggunakan alat yang dibuat secara eksklusif oleh Onyx Sleet.