تعمل مجموعة من الممثلين القادمين من كوريا الشمالية والتي تتتبعها Microsoft باسم Storm-0530 (DEV-0530 سابقاً) على تطوير واستخدام برامج الفدية في الهجمات منذ يونيو 2021. تستخدم هذه المجموعة، التي تطلق على نفسها اسم H0lyGh0st، حمولة برامج الفدية التي تحمل الاسم نفسه لحملاتها وقد نجحت في اختراق الشركات الصغيرة في بلدان متعددة في وقت مبكر من سبتمبر 2021. تقدر Microsoft أن Storm-0530 لديه اتصالات مع مجموعة أخرى مقرها كوريا الشمالية يتم تتبعها باسم Onyx Sleet (المعروف سابقاً باسم PLUTONIUM، والمعروف أيضاً باسم DarkSeoul أو Andariel). في حين أن استخدام برنامج الفدية H0lyGh0st في الحملات فريد من نوعه بالنسبة لـ Storm-0530، فقد لاحظت Microsoft اتصالات بين المجموعتين، وكذلك Storm-0530 باستخدام أدوات تم إنشاؤها حصرياً بواسطة Onyx Sleet.