กลุ่มผู้ดำเนินการที่มาจากเกาหลีเหนือซึ่ง Microsoft ติดตามในชื่อ Storm-0530 (เดิมชื่อ DEV-0530) ได้พัฒนาและใช้แรนซัมแวร์ในการโจมตีตั้งแต่เดือนมิถุนายน 2021 กลุ่มนี้ซึ่งเรียกตัวเองว่า H0lyGh0st ใช้ส่วนข้อมูลแรนซัมแวร์ที่มีชื่อเดียวกันสำหรับการโจมตี และประสบความสำเร็จในการเจาะธุรกิจขนาดเล็กในหลายประเทศตั้งแต่ต้นเดือนกันยายน 2021 Microsoft ประเมินว่า Storm-0530 มีการติดต่อกับกลุ่มที่อยู่ในเกาหลีเหนืออีกกลุ่มหนึ่งที่ถูกติดตามในชื่อ Onyx Sleet (เดิมชื่อ PLUTONIUM หรือที่รู้จักในชื่อ DarkSeoul หรือ Andariel) แม้ว่าการใช้แรนซัมแวร์ H0lyGh0st ในการโจมตีจะเป็นเอกลักษณ์ของ Storm-0530 แต่ Microsoft ก็ได้ตรวจพบการสื่อสารระหว่างทั้งสองกลุ่ม รวมทั้งการที่ Storm-0530 ใช้เครื่องมือที่สร้างขึ้นโดย Onyx Sleet โดยเฉพาะ