Un gruppo di attori originari della Corea del Nord che Microsoft monitora come Storm-0530 (in precedenza DEV-0530) ha iniziato a sviluppare e sta usando ransomware negli attacchi a partire da giugno 2021. Questo gruppo, che si fa chiamare H0lyGh0st, utilizza payload ransomware con lo stesso nome per le sue campagne e ha compromesso con successo piccole imprese in diversi paesi a partire da settembre 2021. Secondo Microsoft, Storm-0530 ha collegamenti con un altro gruppo con base in Corea del Nord ovvero Onyx Sleet (in precedenza PLUTONIUM, aka DarkSeoul o Andariel). Anche se l'uso del ransomware H0lyGh0st nelle campagne è esclusivo di Storm-0530, Microsoft ha osservato comunicazioni tra i due gruppi e l'uso da parte di Storm-0530 di strumenti creati in esclusiva da Onyx Sleet.