Pistachio Tempest (tidigare kallad DEV-0237) är en grupp som är förknippad med betydande distribution av utpressningstrojaner. Microsoft har observerat att Pistachio Tempest använder olika utpressningstrojansnyttolaster över tid när man experimenterar med nya erbjudanden för utpressningstrojaner som en tjänst (RaaS), från Ryuk och Conti till Hive, Nokoyawa och, nu senast, Agenda och Mindware. Pistachio Tempests verktyg, tekniker och procedurer har också förändrats med tiden, men de kännetecknas främst av hur de används av åtkomstmäklare för att få initial åtkomst via befintliga intrång från skadlig programvara som Trickbot och BazarLoader. Efter att ha skaffat sig tillgång använder Pistachio Tempest andra verktyg i sina attacker som kompletterar deras användning av Cobalt Strike, t.ex. SystemBC RAT och Sliver-ramverket. Vanliga utpressningstrojanstekniker (som att distribuera utpressningstrojaner brett i miljöer med PsExec) utgör fortfarande huvudparten i Pistachio Tempest-spelboken. Slutresultatet förblir också detsamma: utpressningstrojaner, exfiltrering och utpressning.