APT39 атакует свои цели посредством фишинговых писем с вредоносными вложениями и использованием разнообразных бэкдоров с целью повышения привилегий, проведения внутренней разведки и обеспечения персистентности.
В ходе атак на компании и организации в Кувейте преступники создавали учетную запись пользователя на компьютерах жертв и выполняли злонамеренные действия в сети, включая сканирование сети с помощью инструмента CrackMapExec для тестирования окружения Windows/Active Directory, сбор учетных данных авторизованных в системе пользователей с помощью инструмента Mimikatz, и перемещение по сети. Как отметили эксперты, большая часть преступной активности осуществлялась в пятницу и субботу, совпадая с выходными на Ближнем Востоке.
Атака на организации в Саудовской Аравии включала использование социальной инженерии с целью обмануть жертву и запустить инструмент для удаленного доступа (RAT). Один из обнаруженных компонентов, «snmp.exe», также присутствует на системах некоторых жертв в Кувейте под названием «imjpuexa.exe», указывая на связь между данными атаками.