针对这3波攻击，研究人员指出，他们发现了新的恶意程序CCoreDoor、PocoProxy，以及EagerBee的变种；再者，对方运用超过15种DLL侧载手法，大部分滥用Windows服务、系统组件、杀毒软件文件；此外，他们也发现黑客运用新兴的回避侦测技术，像是覆写内存里的ntdll.dll，将Sophos Endpoint Protection杀毒软件的代理程序与内核脱钩。值得一提的是，这些攻击的行为模式彼此不同，但根据遭骇的基础设施，以及黑客工作的时间发现交集，研判有人从中居间协调、调度。

对于Cluster Alpha，研究人员看到对方从去年3月初一直到8月进行攻击行动，疑似滥用受害组织网络环境测试不同的技术，并以特殊手法停用杀毒软件、提升权限，这些黑客特别优先侦察服务器映射的子网域、管理者帐号，以及AD相关的基础设施。

这些黑客会借由部署名为EagerBee的恶意软件变种，以窜改封包的功能切断资安系统端点代理程序的通信；再者，他们借由Merlin Agent、PhantomNet、PowHeartBeat等恶意软件创建C2信道，以便于受害电脑持续活动；附带一提的是，对方用来寄生攻击（LOLBins）的系统组件instsrv.exe、srvany.exe相当不寻常，而能取得SYSTEM权限。

另一波攻击行动Cluster Bravo时间最短，仅在去年3月为期3周，这段时间正好与中国第14届全国人民代表大会有所交集，黑客主要目标在于，滥用有效帐号于受害组织网络环境横向散布，然后侧载后门程序创建C2通信。

在这起攻击行动里，研究人员看到对方通过后门程序CCoreDoor进行横向移动，并创建C2通信。值得留意的是，他们发现黑客借由覆写内存内的ntdll.dll，将Sophos端点防护的代理程序与内核脱钩。

最后一波攻击行动Cluster Charlie持续时间最长，从去年3月至今年4月，研究人员在去年6月的其中一天看到攻击活动激增，黑客对于受害组织网络环境里的事件记录进行大规模分析，并运行网络侦察，而这天正好是受害国家的假日。接着，黑客在几个月中持续进行相关活动，最终泄露敏感数据，包含军事与政治文档、基础设施架构数据，以及相关的凭证及帐密数据。

黑客使用过往未曾揭露的恶意程序PocoProxy进行C2通信，并部署恶意软件加载工具HUI，企图将Cobalt Strike的Beacon注入mstsc.exe但并未成功。而对于窃取帐密数据的方式，这些黑客将LSASS转译器注入svchost.exe，从网域控制器截取凭证。

由于遭受攻击的目标是因南海领土问题与中国政府爆发多次冲突的组织，再加上攻击者活动时间与中国上下班时间几乎一致，且3波行动对方收集的数据与中国国家的利益相关，因此研究人员推测，这是一起长期性的网络间谍行动。