Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware. Anche gli strumenti, le tecniche e le procedure di Pistachio Tempest sono cambiati nel tempo, ma sono contrassegnati principalmente dall'uso di broker di accesso per ottenere l'accesso iniziale attraverso infezioni esistenti di software dannoso come Trickbot e BazarLoader. Dopo aver ottenuto l'accesso, Pistachio Tempest usa altri strumenti nei propri attacchi per integrare l'uso di Cobalt Strike, come SystemBC RAT e il framework Sliver. Tecniche ransomware comuni (come l'uso di PsExec per distribuire ampiamente ransomware negli ambienti) rappresentano ancora la parte principale del playbook Pistachio Tempest. I risultati rimangono sempre gli stessi: ransomware, esfiltrazione ed estorsione.