除此之外，他们也发现这些黑客也有利用FortiOS的SSL VPN漏洞CVE-2022-42475的情况，而这项漏洞能让攻击者借由发送伪造的请求运行任意代码。

在成功利用上述漏洞控制vCenter服务器及ESXi服务器后，对方于虚拟机部署名为Reptile、Medusa两款rootkit，以便在不被察觉异状的情况下，持续存取受害的网络环境。

而为了远程进行控制，这些黑客也使用名为Mopsled、Riflespine的恶意程序，它们滥用GitHub及Google Drive做为存取C2的信道。