Skupina Wine Tempest (dříve PARINACOTA) obvykle používá k útokům ransomware řízený lidmi a většinou nasazuje ransomware Wadhrama. Tito aktéři jsou vynalézaví, mění taktiku podle svých potřeb a využívají napadené počítače k různým účelům včetně těžby kryptoměn, rozesílání nevyžádaných e-mailů nebo jako proxy počítače pro jiné útoky. Tato skupina nejčastěji používá metodu „smash-and-grab“, kdy se pokusí proniknout do počítače v síti s následným vyžadováním výkupného během necelé hodiny. Wine Tempest útočí obvykle hrubou silou na servery, které mají protokol RDP (Remote Desktop Protocol) vystavený internetu, s cílem laterálně se pohybovat po síti nebo provádět další aktivity hrubou silou proti cílům mimo síť. Skupina často cílí na integrované účty místních správců nebo na seznam běžných názvů účtů. V jiných případech skupina často cílí na účty služby Active Directory, které napadla nebo o kterých předem věděla, například na účty služeb známých dodavatelů.