Skupina aktérov pochádzajúca zo Severnej Kórey, ktorú spoločnosť Microsoft sleduje ako Storm-0530 (predtým DEV-0530), vyvíja a používa ransomware pri útokoch od júna 2021. Táto skupina, ktorá si hovorí H0lyGh0st, využíva pri svojich kampaniach kód ransomwaru s rovnakým názvom a už v septembri 2021 úspešne napadla malé podniky vo viacerých krajinách. Spoločnosť Microsoft usudzuje, že skupina Storm-0530 je prepojená s ďalšou skupinou so sídlom v Severnej Kórei, ktorá je sledovaná ako Onyx Sleet (predtým PLUTONIUM, alias DarkSeoul alebo Andariel). Hoci používanie ransomwaru H0lyGh0st v kampaniach je jedinečné pre skupinu Storm-0530, spoločnosť Microsoft zaznamenala komunikáciu medzi týmito dvoma skupinami, ako aj to, že Storm-0530 používa nástroje vytvorené výlučne skupinou Onyx Sleet.