Pistachio Tempest (voorheen DEV-0237) is een groep die is gerelateerd aan de distributie van impactvolle ransomware. Microsoft heeft waargenomen dat Pistachio Tempest in de loop van de tijd verschillende ransomware-payloads heeft gebruikt. De groep experimenteert met nieuwe aanbiedingen van ransomware als een dienst (ransomware as a service, of RaaS), van Ryuk en Conti tot Hive, Nokoyawa en (het meest recent) Agenda en Mindware. De hulpprogramma's, technieken en procedures van Pistachio Tempest zijn in de loop van de tijd ook veranderd, maar de groep wordt vooral gekenmerkt door het gebruik van toegangsbemiddelaars voor initiële toegang via bestaande infecties door malware zoals Trickbot en BazarLoader. Nadat er toegang is verkregen, gebruikt Pistachio Tempest andere hulpprogramma's in hun aanvallen om hun gebruik van Cobalt Strike aan te vullen, bijvoorbeeld de SystemBC-RAT en het Sliver-framework. Algemene ransomwaretechnieken (bijvoorbeeld het gebruik van PsExec om ransomware breed in omgevingen te implementeren) maken nog steeds een groot deel uit van het playbook van Pistachio Tempest. De resultaten blijven ook hetzelfde: ransomware, exfiltratie en afpersing.