Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore. È stato constatato che gli attori di Nylon Typhoon hanno creato e distribuito malware personalizzato con cui poi hanno mantenuto la persistenza nelle reti colpite per lunghi periodi di tempo.