Un grup de actori din Coreea de Nord, pe care Microsoft îl urmărește sub numele Storm-0530 (anterior, DEV-0530) dezvoltă și folosește ransomware în atacuri începând din iunie 2021. Acest grup, care își spune H0lyGh0st, folosește o sarcină ransomware cu același nume pentru campaniile sale și, începând din septembrie 2021, a reușit să compromită firme mici din mai multe țări. Microsoft estimează că Storm-0530 are conexiuni cu un alt grup din Coreea de Nord, urmărit ca Onyx Sleet (anterior, PLUTONIUM, cunoscut și ca DarkSeoul sau Andariel). Deși utilizarea ransomware-ului H0lyGh0st în campanii ține doar de Storm-0530, Microsoft a observat comunicații între cele două grupuri, precum și utilizarea de către Storm-0530 a unor instrumente create exclusiv de Onyx Sleet.