Pistachio Tempest (trước đây là DEV-0237) là một nhóm có liên quan đến việc phân phối mã độc tống tiền gây tác động lớn. Microsoft đã nhận thấy Pistachio Tempest sử dụng nhiều tải trọng mã độc tống tiền khác nhau theo thời gian khi nhóm này thử nghiệm các sản phẩm mã độc tống tiền mới dưới dạng dịch vụ (RaaS), từ Ryuk và Conti đến Hive, Nokoyawa và gần đây nhất là Agenda và Mindware. Các công cụ, kỹ thuật và quy trình của Pistachio Tempest cũng thay đổi theo thời gian nhưng chủ yếu được đánh dấu bằng việc chúng sử dụng những kẻ môi giới truy cập để có được quyền truy cập ban đầu thông qua việc lây nhiễm hiện có từ phần mềm gây hại như Trickbot và BazarLoader. Sau khi có được quyền truy cập, Pistachio Tempest sử dụng các công cụ khác trong các cuộc tấn công để bổ sung cho việc sử dụng Cobalt Strike, chẳng hạn như SystemBC RAT và khung Sliver. Các kỹ thuật mã độc tống tiền phổ biến (chẳng hạn như sử dụng PsExec để triển khai mã độc tống tiền rộng rãi trong các môi trường) vẫn là một phần chính của cẩm nang Pistachio Tempest. Các kết quả cũng vẫn như cũ: mã độc tống tiền, trích rút dữ liệu và tống tiền.