Grupa Pistachio Tempest (znana wcześniej pod nazwą DEV-0237) to grupa aktywna w szeroko zakrojonej dystrybucji oprogramowania ransomware. Według obserwacji firmy Microsoft, grupa Pistachio Tempest używała zróżnicowanych ładunków ransomware, eksperymentując z programami ransomware jako usługą (RaaS), takimi jak Ryuk i Conti, czy Hive, Nokoyawa i – ostatnio – Agenda i Mindware. Narzędzia, techniki i procedury stosowane przez grupę Pistachio Tempest zmieniały się z czasem, ale działania tej grupy charakteryzuje przede wszystkim korzystanie z usług brokerów dostępu w celu uzyskania początkowego dostępu poprzez istniejące naruszenia bezpieczeństwa spowodowane przez złośliwe oprogramowanie, takie jak Trickbot i BazarLoader. Po uzyskaniu dostępu grupa następnie używa innych narzędzi, które uzupełniają ataki wykonywane za pomocą Cobalt Strike, takie SystemBC RAT lub środowisko Sliver. Typowe techniki ataków z użyciem ransomware (np. korzystanie z PsExec w celu szeroko zakrojonego zainfekowania środowisk oprogramowaniem ransomware) wciąż stanowią istotną część repertuaru grupy Pistachio Tempest. Wyniki są zawsze takie same: infekcja przez ransomware, eksfiltracja i wymuszenie okupu.