Wine Tempest (ennen PARINACOTA) käyttää hyökkäyksissään tyypillisesti ihmisten ohjaamia kiristysohjelmia, useimmiten Wadhrama-kiristysohjelmaa. Se on kekseliäs ja vaihtaa taktiikkaa tarpeidensa mukaan, ja se on käyttänyt vaarannettuja koneita erilaisiin tarkoituksiin, kuten kryptovaluutan louhintaan, roskapostin lähettämiseen tai muiden hyökkäysten välittämiseen. Ryhmä käyttää useimmiten murskaa ja kaappaa -menetelmää, jossa se yrittää tunkeutua koneeseen verkossa ja sitten vaatii lunnaita alle tunnissa. Wine Tempestin hyökkäykset tehdään tyypillisesti murtautumalla palvelimiin, joissa on etätyöpöytä-protokolla (RDP), joka on yhteydessä internetiin, ja tavoitteena on siirtyä sivusuunnassa verkon sisällä tai suorittaa muita murtautumisia verkon ulkopuolisia kohteita vastaan. Usein ryhmä ottaa kohteekseen sisäänrakennetut paikalliset järjestelmänvalvojatilit tai luettelon yleisistä tilinimistä. Toisissa tapauksissa ryhmä ottaa kohteekseen Active Directory -tilit, jotka se on vaarantanut tai jotka se tuntee ennalta, kuten tunnettujen toimittajien palvelutilit.