O Wine Tempest (anteriormente PARINACOTA) costuma usar ransomware operado por humanos para ataques, principalmente implantando o ransomware Wadhrama. O grupo é engenhoso, muda de tática para atender às suas necessidades e usa máquinas comprometidas para diversos fins, incluindo mineração de criptomoeda, envio de emails de spam ou proxy para outros ataques. Geralmente, emprega um método de smash and grab (esmagar e agarrar, em tradução literal), em que tenta se infiltrar em uma máquina em uma rede e prosseguir com o resgate subsequente em menos de uma hora. Os ataques do Wine Tempest costumam envolver força bruta em servidores que possuem Remote Desktop Protocol (RDP) expostos à Internet, com o objetivo de se mover lateralmente dentro de uma rede ou realizar outras atividades de força bruta contra alvos fora da rede. Frequentemente, o grupo tem como alvo contas de administrador local integradas ou uma lista de nomes de contas comuns. Em outros casos, o grupo visa contas do Active Directory que foram comprometidas ou das quais tem conhecimento prévio, como contas de serviço de fornecedores conhecidos.