Siempre son métodos complejos que explotan vulnerabilidades de zero day, o sea no parcheadas, detectadas o registradas.
Cuando se realizan los análisis, que se ven en las noticias, por compañías de seguridad o los propios afectados en productos y servicios, siempre se nota que son cadenas de vulnerabilidades que son explotadas en un efecto dominó.
Como es lógico ellos detectan los accesos a internet de los dispositivos que le permitan catapultarse (movimientos laterales) hacia otro nivel.
Por ejemplo en el caso de filtración de datos de Argentina de sus ciudadanos fue por un error/descuido (que el hacker descubrió y explotó) por una VPN; y por ahí se llevó toda la info. Obviamente necesita internet como entrada. Recién Anonymous estaba extrayendo info, pero el internet debido a los bloqueos con Rusia, se les puso malo hasta que se les interrumpió, y se quedaron a medio camino en la extracción (no fueron detectados, pero no tenían la conexión). Después que ellos publicaron el leak (filtración), ya corren a cerrar las puertas.
Primero se explora en una primera fase para detectar el objetivo o entrada. Ejemplo en un ataque con ransomware dirigido hacia una compañía de peso. Después se exploran, ya dentro, las vulnerabilidades que avalan según los servicios presentes, Sistemas Operativos, etc. Se lanza el ataque por último o la extracción.
Cómo lo hacen? Nadie sabe, hasta que se realizan las auditorías informáticas que son las que arrojan hacia dónde mirar y analizar, en busca de las vulnerabilidades que explotaron. Si no, no pudieran hacerlo.