Група джерел загроз із Північної Кореї, яку корпорація Майкрософт відстежує під назвою Storm-0530 (раніше – DEV-0530), розширює діяльність із 2021 року й використовує для атак програми з вимогою викупу. Ця група називає себе H0lyGh0st і використовує однойменну зловмисну програму з вимогою викупу у своїх кампаніях. Хакери успішно атакують підприємства малого бізнесу в різних країнах ще з вересня 2021 року. Корпорація Майкрософт припускає, що Storm-0530 має зв’язки з іншим джерелом загрози з Північної Кореї, відомим як Onyx Sleet (колишня назва – PLUTONIUM, або DarkSeoul чи Andariel). Хоча випадки використання зловмисного програмного забезпечення з вимогою викупу H0lyGh0st є унікальними для Storm-0530, корпорація Майкрософт виявила зв’язок між обома групами, а також те, що хакери Storm-0530 застосовують інструменти, створені виключно суб’єктом загроз Onyx Sleet.