Pistachio Tempest (เดิมชื่อ DEV-0237) เป็นกลุ่มที่เกี่ยวข้องกับการกระจายแรนซัมแวร์ที่มีผลกระทบ Microsoft สังเกตว่า Pistachio Tempest ใช้ส่วนข้อมูลแรนซัมแวร์ที่หลากหลายในช่วงเวลาหนึ่ง ในขณะที่กลุ่มทดลองกับแรนซัมแวร์เป็นบริการ (RaaS) ตั้งแต่ Ryuk และ Conti ไปจนถึง Hive, Nokoyawa และล่าสุดคือ Agenda และ Mindware เครื่องมือ เทคนิค และขั้นตอนของ Pistachio Tempest ก็มีการเปลี่ยนแปลงไปตามกาลเวลา แต่หลักๆ แล้วโดดเด่นด้วยการใช้ตัวกลางการเข้าถึงสำหรับการเข้าถึงครั้งแรกผ่านการติดไวรัสที่มีอยู่จากมัลแวร์ เช่น Trickbot และ BazarLoader หลังจากเข้าถึงได้ Pistachio Tempest จะใช้เครื่องมืออื่นในการโจมตีเพื่อเสริมการใช้ Cobalt Strike เช่น SystemBC RAT และเฟรมเวิร์ก Sliver เทคนิคแรนซัมแวร์ทั่วไป (เช่น การใช้ PsExec เพื่อปรับใช้แรนซัมแวร์ในวงกว้างในสภาพแวดล้อม) ยังคงเป็นส่วนสำคัญของคู่มือการวางแผนกลยุทธ์ของ Pistachio Tempest ผลลัพธ์ยังคงเหมือนเดิม: แรนซัมแวร์ การลักลอบถ่ายโอน และการขู่กรรโชก