يستخدم Wine Tempest (المعروف سابقًا باسم PARINACOTA) عادةً برامج الفدية الضارة التي يديرها الإنسان لشن الهجمات، وغالبًا ما ينشر برنامج الفدية الضارة Wadhrama. إنهم يتميزون بسعة الحيلة، ويغيرون التكتيكات لتتناسب مع احتياجاتهم، وقد استخدموا آلات مخترقة لأغراض مختلفة، بما في ذلك استخراج العملات المشفرة، أو إرسال رسائل بريد إلكتروني غير مرغوب فيها، أو استخدام الوكيل لهجمات أخرى. تستخدم المجموعة في أغلب الأحيان أسلوب التحطيم والاستيلاء، حيث يحاولون التسلل إلى جهاز في الشبكة والمضي قدماً في الحصول على فدية ضارة لاحقة في أقل من ساعة. عادةً ما تكون هجمات Wine Tempest عن طريق القوة الغاشمة التي تشق طريقها إلى الخوادم التي تحتوي على بروتوكول سطح المكتب البعيد (RDP) المكشوف للإنترنت، بهدف التحرك أفقيًا داخل الشبكة أو تنفيذ المزيد من أنشطة القوة الغاشمة ضد أهداف خارج الشبكة. في كثير من الأحيان، تستهدف المجموعة حسابات المسؤولين المحليين المضمنة أو قائمة بأسماء الحسابات الشائعة. وفي حالات أخرى، تستهدف المجموعة حسابات Active Directory التي قاموا باختراقها أو لديهم معرفة مسبقة بها، مثل حسابات الخدمة الخاصة ببائعين معروفين.