Wine Tempest (anciennement PARINACOTA) a généralement recours à des rançongiciels exploités par des humains, principalement Wadhrama, pour mener ses attaques. L’ingéniosité de ces pirates informatiques leur permet d’adapter leurs tactiques en fonction de leurs besoins et d’utiliser des machines compromises à diverses fins, telles que le minage de cryptomonnaies, l’envoi de courriers indésirables ou servir de proxy pour d’autres attaques. Le groupe privilégie le plus souvent la méthode du « smash-and-grab », par laquelle il tente d’infiltrer une machine au sein d’un réseau puis de demander le paiement d’une rançon, tout ça en moins d’une heure. Les attaques de Wine Tempest consistent généralement à pénétrer par force brute dans des serveurs dont le protocole de bureau à distance (RDP) est exposé à Internet, dans le but de se déplacer latéralement à l’intérieur d’un réseau ou d’effectuer d’autres activités de force brute contre des cibles extérieures au réseau. Souvent, le groupe vise les comptes administrateur locaux intégrés ou une liste de noms de comptes habituels. Dans d’autres cas, le groupe cible les comptes Active Directory qu’il a compromis ou dont il a connaissance, tels que les comptes de services de fournisseurs connus.