Pistachio Tempest (tidligere DEV-0237) er en gruppe, der er forbundet med virkningsfuld ransomware-distribution. Microsoft har observeret Pistachio Tempest bruge forskellige ransomware-nyttedata over tid, efterhånden som gruppen eksperimenterer med nye ransomware as a service (RaaS)-tilbud, fra Ryuk og Conti til Hive, Nokoyawa og senest Agenda og Mindware. Pistachio Tempests værktøjer, teknikker og procedurer har også ændret sig over tid, men er primært kendetegnet ved deres brug af adgangsmæglere til at få indledende adgang via eksisterende infektioner fra malware som Trickbot og BazarLoader. Når Pistachio Tempest har fået adgang, bruger de andre værktøjer i deres angreb til at supplere deres brug af Cobalt Strike, såsom SystemBC RAT og Sliver framework. Almindelige ransomware-teknikker (såsom at bruge PsExec til at distribuere ransomware bredt i miljøer) er stadig en stor del af strategiplanen for Pistachio Tempest. Resultaterne forbliver også de samme: ransomware, udtrækning og afpresning.