Група от действащи лица, произхождаща от Северна Корея, която Microsoft идентифицира като Storm-0530 (по-рано DEV-0530), разработва и използва рансъмуер в атаки от юни 2021 г. насам. Тази група, която нарича себе си H0lyGh0st, използва за кампаниите си едноименен рансъмуер и още през септември 2021 г. успешно е компрометирала малки предприятия в няколко държави. Microsoft преценява, че Storm-0530 има връзки с друга базирана в Северна Корея група, проследена като Onyx Sleet (по-рано PLUTONIUM, известна още като DarkSeoul или Andariel). Въпреки че използването на H0lyGh0st рансъмуер в кампаниите е уникално за Storm-0530, Microsoft е наблюдавала комуникации между двете групи, както и че Storm-0530 използва инструменти, създадени единствено от Onyx Sleet.