自 2021 年 6 月以來，Microsoft 追蹤為 Storm-0530 (前身為 DEV-0530) 的一群北韓行為者不斷地開發和使用勒索軟體進行攻擊。該組織自稱 H0lyGh0st 並使用同名的勒索軟體承載進行攻擊，早在 2021 年 9 月便成功入侵多個國家/地區的小型企業。Microsoft 的評估顯示，Storm-0530 與另一個追蹤為 Onyx Sleet (前身為 PLUTONIUM，又名 DarkSeoul 或 Andariel) 的北韓組織互有聯繫。雖然在活動中使用的 H0lyGh0st 勒索軟體是 Storm-0530 獨有的，但 Microsoft 觀察到兩個組織之間的通訊，以及 Storm-0530 使用 Onyx Sleet 獨家建置的工具。