Sukėlėjų grupė, kilusi iš Šiaurės Korėjos, kurią „Microsoft“ seka kaip „Storm-0530“ (anksčiau – „DEV-0530“), atakoms kūrė ir naudojo išpirkos reikalaujančias programas nuo 2021 m. birželio mėnesio. Ši grupė, save vadinanti „H0lyGh0st“, savo kampanijose naudoja išpirkos reikalaujančios programos paketo turinį, ir nuo 2021 m. rugsėjo mėn. jau sėkmingai pažeidė mažus verslus keliose šalyse. „Microsoft“ vertinimu, „Storm-0530“ turi ryšių su kita Šiaurės Korėjoje įsikūrusia grupe, sekama pavadinimu „Onyx Sleet“ (anksčiau – „PLUTONIUM“, dar žinomu kaip „DarkSeoul“ arba „Andariel“). Kadangi „H0lyGh0st“ išpirkos reikalaujančios programos naudojimas kampanijose yra išskirtinai būdingas „Storm-0530“, „Microsoft“ stebėjo ryšius tarp šių dviejų grupių, taip pat tai, kad „Storm-0530“, naudoja įrankius, sukurtus išskirtinai „Onyx Sleet“.