Một nhóm tác nhân từ Triều Tiên mà Microsoft theo dõi là Storm-0530 (trước đây là DEV-0530) đã phát triển và sử dụng mã độc tống tiền trong các cuộc tấn công kể từ tháng 6 năm 2021. Tự gọi mình là H0lyGh0st, nhóm này sử dụng tải trọng mã độc tống tiền có cùng tên cho các chiến dịch của mình và đã xâm phạm thành công các doanh nghiệp nhỏ ở nhiều quốc gia ngay từ tháng 9 năm 2021. Microsoft đánh giá rằng Storm-0530 có liên hệ với một nhóm khác có trụ sở tại Triều Tiên đã được theo dõi là Onyx Sleet (trước đây là PLUTONIUM, hay còn gọi là DarkSeoul hoặc Andariel). Mặc dù chỉ có Storm-0530 sử dụng mã độc tống tiền H0lyGh0st trong các chiến dịch, nhưng Microsoft đã quan sát thấy hoạt động liên lạc giữa hai nhóm, cũng như việc Storm-0530 sử dụng các công cụ do Onyx Sleet tạo riêng.