Nylon Typhoon (anteriormente NICKEL) utiliza vulnerabilidades de seguridad contra sistemas sin parches para comprometer servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado volcadores o ladrones de credenciales para obtener credenciales legítimas, que luego utilizaron para obtener acceso a las cuentas de las víctimas y acceder a sistemas de mayor valor. Se ha observado a los autores de Nylon Typhoon creando e implementando programas maliciosos personalizados que les permiten persistir en las redes de las víctimas durante largos periodos de tiempo.