Wine Tempest (tidigare PARINACOTA) använder vanligtvis mänskligt styrda utpressningstrojaner i sina attacker, och oftast utpressningstrojanen Wadhrama. De är påhittiga, ändrar taktik så att den matchar deras behov och använder komprometterade datorer för olika ändamål, inklusive mining av kryptovaluta, spridning av skräppost eller anslutning via proxy för andra attacker. Gruppen använder sig oftast av en smash-and-grab-metod, där de försöker infiltrera en dator i ett nätverk och fortsätta med att begära en lösensumma inom en timma. Wine Tempests angriper oftast genom råstyrkeattacker mot servrar som har Remote Desktop Protocol (RDP) exponerat mot Internet, så att de kan röra sig lateralt i nätverket eller utföra ytterligare råstyrkeattacker mot mål utanför nätverket. Gruppen angriper ofta till interna lokala administratörskonton eller en lista med vanliga kontonamn. I andra fall angriper gruppen Active Directory-konton som de har komprometterat eller skaffat sig information om – det kan exempelvis vara tjänstekonton från kända leverantörer.