O Nylon Typhoon (anteriormente NICKEL) utiliza exploits contra sistemas sem patches aplicados para comprometer serviços e aplicações de acesso remoto. Após uma intrusão com êxito, utilizaram dumpers ou stealers de credenciais para obter credenciais legítimas, que depois utilizaram para obter acesso a contas de vítimas e obter acesso a sistemas de valor mais elevado. Os atores do Nylon Typhoon foram observados a criar e implementar malware personalizado que depois lhes permitiu manter persistência em redes de vítimas durante longos períodos de tempo.