1. Une cible est définie et son environnement analysé.
2. En fonction des renseignements glanés, le ou les vecteurs d’attaque sont techniquement développés
3. S’ensuit une tentative de pénétration de premier niveau via des méthodes simples. Phishing ciblé, faux courrier interne utilisant un document forgé, clef USB…
4. Une fois le ver dans le fruit, il ne reste plus qu’à utiliser l’ordinateur infecté pour infiltrer le réseaucible, puis couvrir les traces de cette opération en modifiant les journaux d’évènements (logs) ou en camouflant les exécutables injectés.
5. L’attaquant entame alors la phase d’exfiltration discrète des données ou, dans le cas de Stuxnet, d’activation des commandes de destruction.
Il faut noter que bien qu’en apparence anodine, les phases les plus importantes sont les deux premières. La connaissance poussée de la cible porte sur divers points, tels que la nature et la version des systèmes d’exploitation, architecture et segmentations du réseau, outils de protection probables, liste au moins partielle des personnes ou adresses email de victimes potentielles travaillant dans la place, habitudes de certains (addiction aux réseaux sociaux par exemple), ces deux derniers points servant à établir le premier piège, le premier contact.