Um grupo de atores originários da Coreia do Norte, que a Microsoft rastreia como Storm-0530 (anteriormente DEV-0530), vem desenvolvendo e usando ransomware em ataques desde junho de 2021. Este grupo, que se autodenomina H0lyGh0st, utiliza um conteúdo de ransomware com o mesmo nome para suas campanhas e comprometeu com sucesso pequenas empresas em vários países já em setembro de 2021. A Microsoft avalia que Storm-0530 tem conexões com outro grupo norte-coreano rastreado como Onyx Sleet (anteriormente PLUTONIUM, também conhecido como DarkSeoul ou Andariel). Embora o uso do ransomware H0lyGh0st em campanhas seja exclusivo do Storm-0530, a Microsoft observou comunicações entre os dois grupos, bem como o Storm-0530 usando ferramentas criadas exclusivamente pela Onyx Sleet.