Pistachio Tempest (anteriormente DEV-0237) é um grupo associado à distribuição impactante de ransomware. A Microsoft observou que o Pistachio Tempest usa conteúdo de ransomware variado ao longo do tempo, à medida que o grupo experimenta novas ofertas de ransomware como serviço (RaaS), de Ryuk e Conti a Hive, Nokoyawa e, mais recentemente, Agenda e Mindware. As ferramentas, técnicas e procedimentos do Pistachio Tempest também mudaram ao longo do tempo, mas são principalmente marcados pelo uso de agentes de acesso para obter acesso inicial por meio de infecções existentes de malware, como Trickbot e BazarLoader. Após obter acesso, o Pistachio Tempest utiliza outras ferramentas em seus ataques para complementar o uso do Cobalt Strike, como a estrutura Sliver e SystemBC RAT. Técnicas comuns de ransomware (como o uso do PsExec para implantar ransomware amplamente em ambientes) ainda são uma parte importante do guia estratégico do Pistachio Tempest. Os resultados também permanecem os mesmos: ransomware, exfiltração e extorsão.