Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware. Die Tools, Techniken und Vorgehensweisen von Pistachio Tempest haben sich mit der Zeit ebenfalls verändert, sind aber in erster Linie durch den Einsatz von Access Brokern gekennzeichnet, die sich über bestehende Infektionen mit Malware wie Trickbot und BazarLoader Zugriff verschaffen. Nachdem sie sich Zugriff verschafft haben, setzt Pistachio Tempest bei Angriffen weitere Tools ein, die Cobalt Strike ergänzen, z. B. SystemBC RAT und das Sliver-Framework. Gängige Ransomware-Techniken (wie die Verwendung von PsExec, zur Verbreitung von Ransomware in Umgebungen) spielen weiterhin eine große Rolle im Playbook von Pistachio Tempest. Die Ergebnisse sind ebenfalls dieselben: Ransomware, Exfiltration und Erpressung.