A Pistachio Tempest (korábbi nevén DEV-0237) csoport nagy hatású zsarolóvírusok terjesztésével kapcsolható össze. A Microsoft megfigyelései szerint a Pistachio Tempest az idők során számos különböző kártékony zsaroló kódot használt, ahogy a csoport új, szolgáltatásként nyújtott zsarolóvírusok (RaaS) használatával kísérletezik, ilyenek a Ryuk, a Conti, a Hive, a Nokoyawa, illetve az utóbbi időkben az Agenda és a Mindware. A Pistachio Tempest eszközei, technikái és eljárásai idővel szintén változnak, de elsősorban az jellemző rájuk, hogy hozzáférési brókerek alkalmazásával igyekeznek kezdeti hozzáférést szerezni különböző kártevő szoftverek – például a Trickbot és a BazarLoader – általi meglévő fertőzéseken keresztül. Miután hozzáférést szerzett, a Pistachio Tempest egyéb eszközöket használ a támadásaihoz a Cobalt Strike kiegészítéseként, például a SystemBC távfelügyeleti eszközt és a Sliver keretrendszert. A gyakori zsarolóvírusos technikák (például a PsExec használata zsarolóvírusok környezetekben való széles körű elterjesztésére) továbbra is fontos szerepet játszanak a Pistachio Tempest forgatókönyvében. A következmények szintén változatlanok: zsarolóvírusok, kiszivárogtatás és zsarolás.