Wine Tempest (попередня назва – PARINACOTA) зазвичай використовує для атак зловмисні програми з вимогою викупу, якими керує людина, найчастіше розгортаючи зловмисну програму з вимогою викупу Wadhrama. Ці зловмисники мають значні ресурси, змінюють тактику відповідно до своїх потреб і використовують уражені комп’ютери для різних цілей, зокрема майнінгу криптовалюти, надсилання спаму електронною поштою або використання проксі-серверів для інших атак. Ця група найчастіше застосовує метод "нападай і хапай", за допомогою якого вона намагається проникнути на комп’ютер у мережі з подальшою вимогою викупу менш ніж за годину. Атаки Wine Tempest зазвичай використовують метод "грубої сили" для проникнення на сервери з протоколом віддаленого робочого столу (RDP), доступним в Інтернеті. Метою атаки є бічне переміщення в мережі або виконання подальших дій грубої сили проти цілей поза мережею. Часто група націлюється на вбудовані локальні облікові записи адміністраторів або список поширених імен облікових записів. В інших випадках група націлюється на облікові записи Active Directory, які вона уразила або про які вона вже знає, наприклад службові облікові записи відомих постачальників.