Tính đến nay, nhóm này đã xâm nhập thành công vào tổng cộng tám mục tiêu.

Nhóm Unfading Sea Haze sử dụng các biến thể của mã độc Gh0st RAT, một loại trojan phổ biến thường được các nhóm tấn công Trung Quốc sử dụng. Một kỹ thuật đặc biệt được nhóm sử dụng trong chiến dịch này là thực thi mã JScript qua công cụ SharpJSHandler, tương tự với kỹ thuật của mã độc backdoor FunnySwitch của nhóm APT41. Cả hai kỹ thuật này đều nạp hợp ngữ .NET và thực thi mã JScript.

Quá trình xâm nhập ban đầu của nhóm chưa được xác định rõ ràng, nhưng đã có ghi nhận nhóm sử dụng email spear-phishing chứa file nén độc hại để tái xâm nhập vào các hệ thống đã bị xâm phạm. Các file nén này chứa file Windows shortcut (LNK), khi khởi động sẽ bắt đầu chuỗi lây nhiễm bằng cách thực thi lệnh tải xuống payload từ máy chủ C&C. Payload này là mã độc SerialPktdoor, được thiết kế để thực thi script PowerShell, quản lý file và tài khoản trên hệ thống.

Để duy trì kết nối với hệ thống bị xâm nhập, nhóm Unfading Sea Haze sử dụng các tác vụ lên lịch với tên tiến trình hợp lệ của Windows, thực hiện kỹ thuật DLL side-loading để nạp DLL độc hại.

Ngoài các công cụ và mã độc chính, nhóm Unfading Sea Haze còn sử dụng mã độc backdoor Stubbedoor để thực thi hợp ngữ .NET tải từ máy chủ C&C. Các công cụ khác được nhóm sử dụng bao gồm keylogger xkeylog, mã độc đánh cắp dữ liệu trình duyệt, công cụ giám sát kết nối thiết bị cầm tay, và chương trình trích xuất dữ liệu DustyExfilTool đã được sử dụng từ tháng 03/2018 đến tháng 01/2022. Nhóm cũng sử dụng mã độc SharpZulip, lợi dụng API của Zulip để thu thập câu lệnh từ xa từ kênh "NDFUIBNFWDNSA".

Một số IoC được ghi nhận