除此之外，他們也發現這些駭客也有利用FortiOS的SSL VPN漏洞CVE-2022-42475的情況，而這項漏洞能讓攻擊者藉由發送偽造的請求執行任意程式碼。

在成功利用上述漏洞控制vCenter伺服器及ESXi伺服器後，對方於虛擬機器部署名為Reptile、Medusa兩款rootkit，以便在不被察覺異狀的情況下，持續存取受害的網路環境。

而為了遠端進行控制，這些駭客也使用名為Mopsled、Riflespine的惡意程式，它們濫用GitHub及Google Drive做為存取C2的通道。