Το Wine Tempest (πρώην PARINACOTA) χρησιμοποιεί συνήθως ransomware που λειτουργεί από ανθρώπους για επιθέσεις, αναπτύσσοντας κυρίως το ransomware Wadhrama. Είναι πολυμήχανοι, αλλάζουν τακτικές για να ανταποκρίνονται στις ανάγκες τους και έχουν χρησιμοποιήσει παραβιασμένα μηχανήματα για διάφορους σκοπούς, συμπεριλαμβανομένης της εξόρυξης κρυπτονομισμάτων, της αποστολής ανεπιθύμητης αλληλογραφίας ή διακομιστών διαμεσολάβησης για άλλες επιθέσεις. Η ομάδα χρησιμοποιεί τις περισσότερες φορές μια μέθοδο smash-and-grab, με την οποία προσπαθούν να διεισδύσουν σε ένα μηχάνημα σε ένα δίκτυο και να προχωρήσουν σε επακόλουθα λύτρα σε λιγότερο από μία ώρα. Οι επιθέσεις του Wine Tempest με τυπικά βίαιες εισβολές σε διακομιστές που διαθέτουν πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) εκτεθειμένο στο διαδίκτυο, με στόχο την πλευρική κίνηση εντός ενός δικτύου ή την εκτέλεση περαιτέρω δραστηριοτήτων ωμής βίας εναντίον στόχων εκτός δικτύου. Συχνά, η ομάδα στοχεύει ενσωματωμένους λογαριασμούς τοπικού διαχειριστή ή μια λίστα κοινών ονομάτων λογαριασμών. Σε άλλες περιπτώσεις, η ομάδα στοχεύει λογαριασμούς υπηρεσίας καταλόγου Active Directory τους οποίους έχει παραβιάσει ή για τους οποίους έχει προηγούμενη γνώση, όπως λογαριασμούς υπηρεσιών γνωστών προμηθευτών.