IBM Security威胁情报主管Caleb Barlow表示：“我们观察到他们也有比较严明的纪律，在办公时间里很活跃，他们也会在周末休息，他们也会定时工作，他们也会休假。它们会以公司化进行运作，会有一个老板全权管理所有攻击行为。它们就像是你雇佣装修公司一样，它们有着很多的分包商，就像是水电工、木工和油漆工一样，它们也和你一样正常上下班。”

Barlow表示了解恶意黑客如何构建和运营其业务非常重要，而公司化可以更好地掌握他们正在攻击的任务。虽然并非所有 *** 犯罪组织都完全相同，但大体结构应该是这样的：领导者，例如CEO，会监督整个组织的更广泛目标。而他或者她会雇佣和领导诸多“项目经理”，而每个项目经理负责每次 *** 攻击的不同部分。

恶意软件的攻击者可能首先购买或创建有针对性的攻击工具，以窃取集团所需的确切信息。另一位攻击者可能会发送欺诈性电子邮件，将恶意软件发送给目标公司。一旦软件成功交付，第三位攻击者可能会努力扩大集团在目标公司内的访问权限，并寻求可以在暗网上进行销售的相关信息。

IBM还提供了一张信息图，展示了从犯罪集团的角度，如何发起为期120天针对一家财富500强公司的真实案例。负责IBM X-Force业务安全事件响应的Christopher Scott表示称在这种情况下，对财富500强企业的攻击意味着窃取和破坏数据，不同的颜色大致代表不同的工作职能。