Wine Tempest (voorheen PARINACOTA) gebruikt meestal door mensen beheerde ransomware voor aanvallen. Wadhrama-ransomware wordt het meest geïmplementeerd. Ze zijn vindingrijk, veranderen hun tactieken zodat ze passen bij hun behoeften en hebben gecompromitteerde computers gebruikt voor verschillende doelen, inclusief cryptoanalyse, e-mails met spam verzenden en proxy's gebruiken voor andere aanvallen. De groep gebruikt het meest een methode waarbij ze een barrière doorbreken en items grijpen ('smash-and-grab'). Ze proberen een computer in een netwerk te infiltreren en vervolgens een geldsom te vragen in minder dan een uur. De aanvallen van Wine Tempest zijn meestal beveiligingsaanvallen op servers met een extern bureaublad-protocol (Remote Desktop Protocol, of RDP) dat is blootgesteld aan het internet. Wanneer ze binnen zijn, is het hun doel om zich lateraal te verplaatsen in het netwerk of om meer beveiligingsaanvallen uit te voeren op doelen buiten het netwerk. De groep valt vaak ingebouwde accounts voor lokale beheerders of een lijst met algemene accountnamen aan. In andere gevallen valt de groep Active Directory-accounts aan die ze hebben gecompromitteerd of waarvan ze voorkennis hebben, bijvoorbeeld serviceaccounts van bekende leveranciers.