微软安全团队披露了一个以中小企业为勒索目标的朝鲜黑客组织 DEV-0530，该组织自称 H0lyGh0st，使用同名勒索软件入侵企业勒索赎金。DEV-0530 采用的策略和其它勒索软件组织类似，维护了一个 .onion 暗网网站与受害者沟通，在入侵之后，用扩展名 .h0lyenc 加密文件，然后索要比特币赎金。该组织也采用了双重勒索，威胁在社交网络披露企业数据或将数据发送给其客户。微软认为 DEV-0530 与朝鲜黑客组织 PLUTONIUM (aka DarkSeoul 或 Andariel)有关联，该组织使用了 PLUTONIUM 开发的工具。