훔친 자격증명으로 VPN을 통해 네트워크에 침입하고 웹셸과 커스텀 백도어를 설치했다. 그리고 네트워크 내부를 정찰하면서 중요한 자격증명을 추가로 수집했다. 공격자는 내부 모니터링 시스템에 탐지되지 않는 수준으로 은밀하게 활동하면서 전체 네트워크를 장악했다.감염된 조직에서 EDR을 업그레이드하면서 공격자의 활동이 탐지되기 시작했다. 그러자 공격자는 다른 백도어를 배포하고, 스피어피싱을 이용해 다른 자격증명을 획득하고 침투를 시도했으며, 취약점을 스캔하고, 오픈소스 도구와 LotL 기법을 이용해 공격을 시도했다.침해 행위