Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben. Nylon Typhoon-Akteure wurden dabei beobachtet, wie sie benutzerdefinierte Malware erstellten und einsetzten, die es ihnen ermöglichte, sich über längere Zeiträume in den Netzwerken der Opfer zu halten.