Grupa Nylon Typhoon (przedtem NICKEL) wykorzystuje luki w systemach bez zastosowanych poprawek do naruszania zabezpieczeń usług i urządzeń dostępu zdalnego. Po pomyślnym wtargnięciu używała programów do upubliczniania lub kradzieży poświadczeń w celu uzyskania prawdziwych poświadczeń, których następnie używała do uzyskiwania dostępu do kont ofiar oraz do systemów o wyższej wartości. Wśród źródeł z grupy Nylon Typhoon zaobserwowano tworzenie i wdrażanie niestandardowego złośliwego oprogramowania, które następnie pozwalało im utrzymać trwałość w sieciach ofiar przez dłuższe okresy czasu.