En gruppe aktører med opprinnelse i Nord-Korea, som Microsoft følger som Storm-0530 (tidligere DEV-0530), har utviklet og brukt løsepengevirus i angrep siden juni 2021. Denne gruppen, som kaller seg for H0lyGh0st, nytter seg av en løsepengevirusnyttelast med samme navn for kampanjene sine og har lykkes i å kompromittere små bedrifter i flere land så tidlig som september 2021. Microsoft tror Storm-0530 har tilknytning til en annen gruppe basert i Nord-Korea, som følges som Onyx Sleet (tidligere PLUTONIUM, aka DarkSeoul eller Andariel). Selv om bruken av H0lyGh0st-løsepengeviruset i kampanjer er unikt for Storm-0530, har Microsoft observert kommunikasjon mellom de to gruppene, samt at Storm-0530 bruker verktøy som er opprettet utelukkende av Onyx Sleet.