Nylon Typhoon (sebelumnya NICKEL) menggunakan eksploitasi terhadap sistem yang belum di-patch untuk membahayakan appliance dan layanan akses jarak jauh. Setelah intrusi berhasil, mereka menggunakan dumper atau pencuri kredensial untuk mendapatkan kredensial yang sah, yang kemudian mereka gunakan untuk mendapatkan akses ke akun korban dan untuk mendapatkan akses ke sistem dengan nilai yang lebih tinggi. Pelaku Nylon Typhoon telah terpantau membuat dan menyebarkan program jahat kustom yang memungkinkan mereka mempertahankan persistensi di jaringan korban selama jangka waktu yang lama.