Microsoft が Storm-0530 (旧称 DEV-0530) と呼んで追跡している、北朝鮮から発生した攻撃者グループは、2021 年 6 月からランサムウェアを開発し、攻撃に使用しています。このグループは "H0lyGh0st" と自称して、同じ名前のランサムウェア ペイロードを使ったキャンペーンを実行し、2021 年 9 月には、早くも複数の国々で中小企業への侵害に成功しました。Microsoft の査定によれば、Storm-0530 は、Onyx Sleet (旧称 PLUTONIUM、別名 DarkSeoul または Andariel) という呼称で追跡されている別の北朝鮮系グループとつながっています。H0lyGh0st ランサムウェアを使ってキャンペーンを展開する活動は Storm-0530 だけの独特なものですが、Microsoft では、両グループ間に通信があったことと、Onyx Sleet の独自開発によるツールが Storm-0530 によって使われたことを観測しています。