Wine Tempest (anterior PARINACOTA) utilizează în mod obișnuit ransomware operat de oameni în cadrul atacurilor, în principal prin implementarea ransomware-ului Wadhrama. Aceștia sunt inventivi, schimbându-și tacticile în funcție de necesități și utilizând mașinile compromise în diverse scopuri, inclusiv pentru extragerea de criptomonede, trimiterea de e-mailuri spam sau ca proxy pentru alte atacuri. De cele mai multe ori, această grupare utilizează metoda „lovește și fură”, prin care încearcă să se infiltreze într-o mașină dintr-o rețea și să obțină o răscumpărare ulterioară în mai puțin de o oră. Atacurile inițiate de Wine Tempest prin forțarea brută a accesului la serverele care au protocolul de desktop la distanță (RDP) expus la internet, cu scopul de a se deplasa lateral în interiorul unei rețele sau de a efectua alte activități de forțare brută împotriva unor ținte din afara rețelei. Adesea, gruparea vizează conturi de administrator locale integrate sau o listă de nume de conturi comune. În alte cazuri, gruparea vizează conturi Active Directory pe care le-a compromis sau pe care le cunoaște în prealabil, cum ar fi conturile de serviciu ale furnizorilor cunoscuți.