Nylon Typhoon (voorheen NICKEL) valt niet-gepatchte systemen aan om services en apparaten voor externe toegang te compromitteren. Na een succesvolle inbreuk maakt de groep gebruik van referentiedumpers of -stelers om legitieme referenties te verkrijgen. Met deze legitieme referenties krijgen ze toegang tot accounts van slachtoffers en tot systemen met een hogere waarde. Het is waargenomen dat Nylon Typhoon-actoren aangepaste malware maken en implementeren. Met deze malware kunnen ze vervolgens voor een lange periode permanentie op de netwerken van de slachtoffers handhaven.