Pistachio Tempest (anciennement DEV-0237) est un groupe associé à la distribution de rançongiciels à fort impact. Microsoft a observé que Pistachio Tempest utilisait des charges utiles de rançongiciel variées au fil du temps, car le groupe expérimente de nouvelles solutions de rançongiciel en tant que service (RaaS), de Ryuk et Conti à Hive, Nokoyawa et, plus récemment, Agenda et Mindware. Les outils, techniques et procédures de Pistachio Tempest ont également évolué au fil du temps, mais ils se caractérisent principalement par l'utilisation de courtiers d'accès pour obtenir un accès initial via des infections existantes par des logiciels malveillants tels que Trickbot et BazarLoader. Après avoir obtenu l'accès, Pistachio Tempest utilise d'autres outils dans ses attaques pour compléter son utilisation de Cobalt Strike, comme le RAT SystemBC et le cadre Sliver. Les techniques courantes de rançongiciel (telles que l'utilisation de PsExec pour déployer des rançongiciels à grande échelle dans les environnements) constituent toujours une part importante de la stratégie de Pistachio Tempest. Les résultats restent également les mêmes : rançongiciel, exfiltration et extorsion.