Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。Nylon Typhoon アクターの攻撃方法としては、被害者ネットワーク内に長期間にわたって居座るようなカスタム マルウェアを作成、展開する手口が観測されています。