Wine Tempest (tidligere PARINACOTA) bruger typisk menneskebetjent ransomware til angreb, for det meste Wadhrama-ransomwaren. De er opfindsomme, skifter taktik efter behov og har brugt kompromitterede maskiner til forskellige formål, herunder mining af kryptovaluta, afsendelse af spammails eller proxy til andre angreb. Gruppen benytter sig oftest af en smash-and-grab-metode, hvor de forsøger at infiltrere en maskine i et netværk og efterfølgende udbetaler løsepenge på mindre end en time. Wine Tempest angriber typisk servere, hvor Remote Desktop Protocol (RDP) er eksponeret mod internettet, med det formål at bevæge sig lateralt ind i et netværk eller udføre yderligere brute-force-aktiviteter mod mål uden for netværket. Ofte er gruppemålene indbyggede lokale administratorkonti eller en liste med almindelige kontonavne. I andre tilfælde går gruppen efter Active Directory-konti, som de har kompromitteret eller har forudgående kendskab til, f.eks. servicekonti fra kendte leverandører.