O Pistachio Tempest (anteriormente DEV-0237) é um grupo associado à distribuição de ransomware prejudicial. A Microsoft observou que o Pistachio Tempest utilizou vários payloads de ransomware ao longo do tempo, uma vez que o grupo utiliza novas ofertas de ransomware como serviço (RaaS), desde Ryuk e Conti a Hive, Nokoyawa e, mais recentemente, Agenda e Mindware. As ferramentas, as técnicas e os procedimentos do Pistachio Tempest também mudaram ao longo do tempo, mas são marcadas sobretudo pela utilização de mediadores de acesso para obter acesso inicial através de infeções existentes a partir de malware como Trickbot e BazarLoader. Após obter acesso, o Pistachio Tempest utiliza outras ferramentas nos seus ataques para complementar a utilização do Cobalt Strick, como o SystemBC RAT e o Sliver framework. As técnicas de ransomware comuns (como utilizar o PsExec para implementar ransomware em grande escala em ambientes) continuam a constituir uma grande parte do manual de procedimentos do Pistachio Tempest. Os resultados também se mantêm: ransomware, transferências não autorizadas e extorsão.