至于这些黑客隐匿攻击行动的媒介，ACSC提及APT40过往较常入侵澳洲网站并将其充当C2服务器，如今滥用小型办公室及家用的网络设备架设基础设施，因为这类设备有不少并未定期修补，或是生命周期已经结束而不再受到维护，一旦拿下之后，就有可能将它们用来发动攻击，将相关流量混入合法流量，而能对防守方隐匿攻击行踪。

ACSC也公布两起APT40发动的资安事故，其中一起发生在2022年7月至9月，黑客先通过TLS连接成功存取部分网页应用程序、着手侦察，随后锁定特定端点尝试利用漏洞，最终疑似于网页服务器植入Web Shell或是其他工具，使攻击者能成功向网页服务器发出POST请求。

接着，黑客寻求权限提升的机会，并找出网络环境的其他主机，部署更多的Web Shell。另一方面，这些黑客也试图使用外流的帐密数据存取网页应用程序，过程中会部署开源工具Secure Socket Funneling（SSF），创建受害组织的网络环境与恶意基础设施之间的连接，后来APT40找出网络环境及AD的组态，使用另一个外流的帐号在边界网络（DMZ）的Windows电脑上，设置共享文件夹，从而成功外泄数据。

另一起资安事故则是发生在2022年4月，APT40锁定受害组织提供员工远程登录系统，这套系统由3组负载平衡主机组成，事故发生后受害组织关闭其中2台主机，结果黑客后续的攻击行动都针对尚未关闭的主机而来。

对方使用已知漏洞于受害主机植入Web Shell，并进行权限提升。虽然缺乏事件记录数据，ACSC无法确认这起事故的完整范围，但他们根据主机上找到的证据，指出对方窃得数百组帐密数据，甚至有可能借由合法用户的身分存取虚拟化桌面基础设施（VDI）环境。