Een groep actoren afkomstig uit Noord-Korea wordt door Microsoft bijgehouden als Storm-0530 (voorheen DEV-0530). Deze groep heeft sinds juni 2021 ransomware ontwikkeld en gebruikt in aanvallen. De groep noemt zichzelf H0lyGh0st en gebruikt een ransomware-payload met dezelfde naam voor hun campagnes. De actoren hebben al sinds september 2021 kleine bedrijven in meerdere landen gecompromitteerd. Microsoft beoordeelt dat Storm-0530 connecties heeft met een andere Noord-Koreaanse groep die wordt bijgehouden als Onyx Sleet (voorheen PLUTONIUM, ook bekend als DarkSeoul en als Andariel). Hoewel het gebruik van H0lyGh0st-ransomware in campagnes uniek is voor Storm-0530, heeft Microsoft waargenomen dat er communicatie plaatsvindt tussen de twee groepen en dat Storm-0530 hulpprogramma's gebruikt die exclusief zijn gemaakt door Onyx Sleet.