至於這些駭客隱匿攻擊行動的媒介，ACSC提及APT40過往較常入侵澳洲網站並將其充當C2伺服器，如今濫用小型辦公室及家用的網路裝置架設基礎設施，因為這類設備有不少並未定期修補，或是生命週期已經結束而不再受到維護，一旦拿下之後，就有可能將它們用來發動攻擊，將相關流量混入合法流量，而能對防守方隱匿攻擊行蹤。

ACSC也公佈兩起APT40發動的資安事故，其中一起發生在2022年7月至9月，駭客先透過TLS連線成功存取部分網頁應用程式、著手偵察，隨後鎖定特定端點嘗試利用漏洞，最終疑似於網頁伺服器植入Web Shell或是其他工具，使攻擊者能成功向網頁伺服器發出POST請求。

接著，駭客尋求權限提升的機會，並找出網路環境的其他主機，部署更多的Web Shell。另一方面，這些駭客也試圖使用外流的帳密資料存取網頁應用程式，過程中會部署開源工具Secure Socket Funneling（SSF），建立受害組織的網路環境與惡意基礎設施之間的連線，後來APT40找出網路環境及AD的組態，使用另一個外流的帳號在邊界網路（DMZ）的Windows電腦上，設置共享資料夾，從而成功外洩資料。

另一起資安事故則是發生在2022年4月，APT40鎖定受害組織提供員工遠端登入系統，這套系統由3組負載平衡主機組成，事故發生後受害組織關閉其中2臺主機，結果駭客後續的攻擊行動都針對尚未關閉的主機而來。

對方使用已知漏洞於受害主機植入Web Shell，並進行權限提升。雖然缺乏事件記錄資料，ACSC無法確認這起事故的完整範圍，但他們根據主機上找到的證據，指出對方竊得數百組帳密資料，甚至有可能藉由合法使用者的身分存取虛擬化桌面基礎設施（VDI）環境。