Wine Tempest (anteriormente PARINACOTA) suele utilizar ransomware controlado por humanos para sus ataques, la mayoría de las veces implementando el ransomware Wadhrama. Son ingeniosos, cambian de táctica en función de sus necesidades y han utilizado máquinas comprometidas para diversos fines, como la minería de criptomonedas, el envío de correos electrónicos no deseados o el proxy para otros ataques. La mayoría de las veces, el grupo emplea un método de robo relámpago, mediante el cual intentan infiltrarse en una máquina de una red y proceder al posterior rescate en menos de una hora. Los ataques de Wine Tempest suelen consistir en introducirse por fuerza bruta en servidores que tienen el Protocolo de Escritorio Remoto (RDP) expuesto a Internet, con el objetivo de moverse lateralmente dentro de una red o realizar otras actividades de fuerza bruta contra objetivos fuera de la red. Con frecuencia, el grupo se dirige a cuentas de administrador local incorporadas o a una lista de nombres de cuentas comunes. En otros casos, el grupo se dirige a cuentas de Active Directory que han puesto en peligro o de las que tienen conocimiento previo, como cuentas de servicio de proveedores conocidos.