接着，这些黑客对于受害组织的网络环境进行侦察，过程中使用53781端口，但为何这么做，研究人员表示不清楚。

而对于黑客使用的恶意程序，研究人员提及黑客加载ShadowPad的方式出现新手法，那就是运用13年前的IME文件imecmnt.exe来进行。

再者，前述提到用来启动Cobalt Strike的恶意程序加载工具，则是源自中国开源项目，而该项目设置的目的本来就是防止Cobalt Strike遭到杀毒软件拦截，黑客几乎可说是拿现成的工具加以利用。研究人员提到，黑客下载、解密、运行Cobalt Strike Beacon的过程，完全在内存内运行，而不会在磁盘留下痕迹。