O Wine Tempest (anteriormente PARINACOTA) usa normalmente ransomware operado por seres humanos para ataques, implementando principalmente o ransomware Wadhrama. É engenhoso, mudando táticas consoante as necessidades, e utilizaram computadores comprometidos para vários fins, incluindo mineração de criptomoedas, envio de e-mails de spam ou estabelecimento de proxies para outros ataques. O grupo normalmente recorre a um método de ataque rápido, em que tenta infiltrar um computador numa rede e exige o resgate subsequente em menos de uma hora. O Wine Tempest ataca tipicamente através de força bruta para aceder a servidores que têm Protocolo de Ambiente de Trabalho Remoto (RDP) exposto à Internet, com o objetivo de se mover lateralmente dentro de uma rede ou realizar mais atividades de força bruta conta alvos fora da rede. Frequentemente, o grupo visa contas de administrador local incorporadas ou uma lista de nomes de conta comuns. Noutros exemplos, o grupo visa contas do Active Directory que comprometeram ou de que têm conhecimento anterior, como contas de serviço de fornecedores conhecidos.