Grupa aktera poreklom iz Severne Koreje koju Microsoft prati kao Storm-0530 (ranije DEV-0530) razvija i koristi ransomver u napadima od juna 2021. godine. Ova grupa, koja sebe naziva H0lyGh0st, za svoje kampanje koristi ransomver korisne podatke pod istim nazivom i već u septembru 2021. godine uspešno je ugrozila mala preduzeća u više zemalja. Microsoft procenjuje da Storm-0530 ima veze sa drugom grupom sa sedištem u Severnoj Koreji koja se prati kao Onyx Sleet (ranije PLUTONIUM, poznat i kao DarkSeoul ili Andariel). Iako je korišćenje H0lyGh0st ransomvera u kampanjama svojstveno grupi Storm-0530, korporacija Microsoft je uočila komunikaciju između dve grupe, kao i da Storm-0530 koristi alatke koje izrađuje isključivo Onyx Sleet.