Um grupo de atores com origem na Coreia do Norte que a Microsoft monitoriza como Storm-0530 (anteriormente DEV-0530) desenvolve e utilizar ransomware em ataques desde junho de 2021. Este grupo, que se chama a si próprio H0lyGh0st, utiliza um payload de ransomware com o mesmo nome para as suas campanhas e comprometeu com êxito pequenas empresas em vários países, pelo menos desde setembro de 2021. A Microsoft crê que o Storm-0530 tem ligações com outro grupo norte-coreano monitorizado como Onyx Sleet (anteriormente PLUTONIUM, também conhecido como DarkSeoul ou Andariel). Embora a utilização do ransomware H0lyGh0st em campanhas seja exclusivo ao Storm-0530, a Microsoft observou comunicações entre os dois grupos, bem como o Storm-0530 a utilizar ferramentas criadas exclusivamente pelo Onyx Sleet.