Obserwowana przez firmę Microsoft, pochodząca z Korei Północnej grupa hakerska pod nazwą Storm-0530 (znana poprzednio pod nazwą DEV-0530) opracowuje oprogramowanie ransomware i przeprowadza ataki od czerwca 2021 r. Grupa ta, określająca się nazwą H0lyGh0st, korzysta w swoich kampaniach z ładunków programu ransomware pod taką samą nazwą i już we wrześniu 2021 r. miała na swoim koncie naruszenia zabezpieczeń pomniejszych firm w kilku krajach. Według szacunków firmy Microsoft grupa Storm-0530 ma powiązania z inną grupą hakerską z Korei Północnej, znaną pod nazwą Onyx Sleet (wcześniej PLUTONIUM, lub też DarkSeoul i Andariel). Choć korzystanie z ransomware H0lyGh0st jest charakterystyczne tylko dla grupy Storm-0530, firma Microsoft zaobserwowała, że obie grupy komunikują się ze sobą, a grupa Storm-0530 korzysta z narzędzi opracowanych przez Onyx Sleet.