Pistachio Tempest (anteriormente DEV-0237) es un grupo asociado a la distribución de ransomware de gran impacto. Microsoft ha observado que Pistachio Tempest usa diversas cargas útiles de ransomware a medida que el grupo experimenta con nuevas ofertas de ransomware como servicio (RaaS), desde Ryuk y Conti hasta Hive, Nokoyawa y, más recientemente, Agenda y Mindware. Las herramientas, técnicas y procedimientos de Pistachio Tempest también han cambiado con el tiempo, pero se caracterizan principalmente por usar agentes de acceso para obtener acceso inicial a través de infecciones existentes de malware como Trickbot y BazarLoader. Tras obtener acceso, Pistachio Tempest usa otras herramientas en sus ataques para complementar su uso de Cobalt Strike, como SystemBC RAT y el marco Sliver. Las técnicas habituales de ransomware (como usar PsExec para implementar el ransomware ampliamente en los entornos) siguen siendo una parte importante del cuaderno de jugadas de Pistachio Tempest. Los resultados también siguen siendo los mismos: ransomware, filtración y extorsión.