Wine Tempest (ehemals PARINACOTA) verwendet für seine Angriffe üblicherweise menschlich gesteuerte Ransomware, meist die Ransomware Wadhrama. Die Hackergruppe ist erfinderisch, ändert ihre Taktiken nach Bedarf und nutzt kompromittierte Computer für verschiedene Zwecke wie z. B. Cryptomining, den Versand von Spam oder als Proxy für weitere Angriffe. In den meisten Fällen wird eine „Smash-and-Grab“-Methode angewendet. Dabei wird versucht, einen Computer in einem Netzwerk zu infiltrieren und in weniger als 60 Minuten Lösegeld zu fordern. Wine-Tempest-Angreifer nutzen in der Regel Brute-Force-Methoden, um in Server einzudringen, die über das Remote Desktop Protocol (RDP) mit dem Internet verbunden sind. Ziel ist es, sich innerhalb des Netzwerks zu bewegen oder weitere Brute-Force-Aktivitäten gegen Ziele außerhalb des Netzwerks durchzuführen. Oft zielt die Gruppe auf integrierte lokale Administratorkonten oder eine Liste mit allgemeinen Kontonamen ab. In anderen Fällen nimmt die Gruppe Active Directory-Konten ins Visier, die sie bereits kompromittiert oder ausspioniert hat, wie z. B. Dienstkonten bekannter Anbieter.