Wine Tempest (in precedenza PARINACOTA) in genere usa ransomware con intervento umano per gli attacchi, distribuendo soprattutto il ransomware Wadhrama. Oltre a tattiche ingegnose e in evoluzione per soddisfare le sue esigenze, ha usato computer compromessi per vari scopi, tra cui il mining di criptovalute, l'invio di posta indesiderata o proxy per altri attacchi. Questo gruppo spesso impiega un metodo "smash-and-grab", grazie al quale tenta di infiltrarsi in un computer in una rete e di chiedere quindi il riscatto in meno di un'ora. Gli attacchi di Wine Tempest in genere accedono con forza bruta ai server che hanno Remote Desktop Protocol (RDP) esposto a Internet, con l'obiettivo di spostarsi lateralmente all'interno di una rete o di eseguire ulteriori attività di forza bruta contro i target al di fuori della rete. Spesso il gruppo colpisce gli account amministratore locali integrati o un elenco di nomi di account comuni. In altri casi, il gruppo attacca gli account Active Directory che hanno compromesso o che già conoscono, come ad esempio gli account dell'assistenza di fornitori noti.