Microsoft’un takip ettiği Storm-0530 (eski adıyla DEV-0530) olarak bilinen Kuzey Kore kökenli bir grup aktör, Haziran 2021’den bu yana saldırılar için fidye yazılımı geliştirip kullanıyor. Kendisine H0lyGh0st adını veren bu grup, kampanyaları için aynı adı taşıyan bir fidye yazılımı yükü kullanarak Eylül 2021 kadar erken bir tarihte birçok ülkedeki küçük işletmelerin güvenliğini ele geçirmeyi başardı. Microsoft, Storm-0530’un Onyx Sleet (eski adıyla PLUTONIUM, bilinen diğer adıyla DarkSeoul veya Andariel) olarak takip edilen Kuzey Kore merkezli başka bir grupla bağlantısı olduğunu düşünüyor. H0lyGh0st fidye yazılımının kampanyalarda kullanımı Storm-0530’a özgü olsa da Microsoft, Onyx Sleet tarafından özel olarak oluşturulan araçları Storm-0530’un kullanmasının yanı sıra iki grup arasındaki iletişimi de gözlemledi.