En grupp aktörer från Nordkorea, som Microsoft följer under namnet Storm-0530 (tidigare DEV-0530), har sedan juni 2021 utvecklat och använt utpressningstrojaner i angrepp. Gruppen som kallar sig själv H0lyGh0st använder en nyttolast med utpressningstrojaner med samma namn för sina kampanjer och har i flera länder lyckats ta sig in i småföretag så tidigt som september 2021. Microsoft bedömer att Storm-0530 har kopplingar till en annan grupp baserad i Nordkorea som följs under namnet Onyx Sleet (tidigare PLUTONIUM,även känt som DarkSeoul eller Andariel). Även om användningen av H0lyGh0st som utpressningstrojan i kampanjer är unikt för Storm-0530, har Microsoft observerat samband mellan de två grupperna och har upptäckt att Storm-0530 använder verktyg som enbart har skapats av Onyx Street.