研究人員指出，一旦駭客得到內部網路的存取權限，就會使用遠端桌面連線工具AnyDesk、RustDesk，以及壓縮軟體WinRAR來進行後續攻擊行動，並且利用系統資訊工具PC Hunter及wmiexec橫向移動。

此外，為了讓檔案加密工作能順利執行，駭客會停用Windows內建的防毒軟體即時監控功能，並使用PowerShell下達刪除磁碟區陰影複製服務（VSS）的備份檔案。此外，這些駭客也開發了Linux版的加密程式，可用來加密VMware ESXi虛擬機器的檔案，進行綁架勒贖。

勒索軟體駭客採取寄生攻擊（LOLBins）手法，利用企業組織內現成的應用程式，執行攻擊行動，來迴避資安系統偵測的情況可說是非常普遍，其中，有許多駭客組織，如：LockBit、BlackByte，以及專門針對SQL Server的勒索軟體FreeWorld，濫用遠端桌面連線工具AnyDesk來存取受害主機，Akira也不例外。

但值得留意的是，這些駭客還運用另一款開源、跨平臺的遠端桌面連線工具RustDesk，而有可能架設自己的基礎設施架構，或是利用其內建的點對點（P2P）連線功能，讓攻擊行動變得更為隱密。