360公司捕获了与美国中央情报局CIA有关的黑客攻击组织（APT-C-39）对中国进行的长达十一年的网络攻击渗透，攻击目标为航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位。 同时还定位到负责从事研发和制作相关网络武器的CIA前雇员：约书亚·亚当·舒尔特(Joshua Adam Schulte)，在该组织攻击中国目标期间，他在CIA的秘密行动处(NCS)担任科技情报主管职位，直接参与研发了针对中国进行攻击的网络武器：Vault7（穹窿7）。 研究发现，该组织多次使用了Fluxwire，Grasshopper等CIA专属网络武器针对中国目标实施网络攻击。其中，Fluxwire系列后门在2010年初就已在针对中国目标的攻击中出现，早于2017年维基百科的曝光。在2011年针对一家大型中国互联网公司的网络攻击中，使用了WISTFULTOOL(WISTFULTOLL)，这是2014年国家安全局(NSA)泄露的一款攻击插件。 2018年，约书亚因泄露行为被美国司法部逮捕并起诉，2020年2月4日，在联邦法庭的公开听证会上，检方公诉人认定，约书亚作为CIA网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人，将网络武器交由维基解密公开，犯有“在中央情报局历史上最大的一次机密国防情报泄露事件”，即2016年，约书亚利用其在核心机房的管理员权限和设置的后门，拷走了“Vault7（穹窿7）” 并“给到”维基解密组织，该组织于2017年将资料公布在其官方网站上。

ESET研究人员最近发现了名为DePriMon的恶意下载器，该恶意软件在中欧的一家私人公司和中东的数十台计算机中被发现，并且至少从2017年3月开始就处于活动状态。安装后，为了实现持久性，恶意软件注册一个新的本地端口监视器，并将自身配置成名为"Windows默认打印监视器驱动程序"的打印监视器，其配置文件以加密格式存储在％Temp％文件夹中，当恶意软件需要读取文件时，它将对文件解密，将其读取到内存中，然后再次对文件进行加密。恶意程序加载后使用TLS加密与其命令和控制服务器进行通信。目前还不知道该恶意软件的感染方式和提供的最终有效负载。但是发现，该恶意软件和 APT组织Lamberts(又名Longhorn)使用的ColoredLambert恶意软件一起在某些受害系统被发现。

卡巴斯基安全研究人员发布了关于Longhorn攻击工具包的报告。Longhorn的复杂程度可与Regin, ProjectSauron, Equation或Duqu2相比，是目前分析过的最复杂的间谍活动。卡巴斯基内部称Longhorn为The Lamberts。The Lamberts最早于2014年被fireeye检测到，使用了零日漏洞CVE-2014-4148。其使用的木马为BlackLambert，攻击目标为欧洲的组织。从2008年开始The Lamberts开始使用多种复杂的攻击工具，包括网络驱动后门，模块化后门，信息收集器，擦除器等等，针对的操作系统有Windows和OSX，最新的样本创建于2016年。Lamberts工具包最活跃时期为2013年和2014年。总的来说，该工具包使用了高度复杂的恶意软件，可用高级技术来嗅探网络流量，绕过磁盘在内存中运行插件，在64位Windows系统上运行未签名的代码。

“Vault 7”行动使用的间谍工具和操作协议针对了至少16个不同国家的40个目标，赛门铁克称实施该行动的团伙为Longhorn。种种迹象表明Longhorn从2007年开始活动，2011年开始变的活跃，使用了一系列后门木马和0-day漏洞，针对行业包括政府，国际运营机构，金融，电信，能源，航空航天，信息技术，教育和自然资源部门，针对地区包括中东，欧洲，亚洲和非洲。赛门铁克2014年发现其使用了零日漏洞CVE-2014-4148，木马为Plexor。Longhorn使用的手段非常复杂，为间谍组织。其使用的其他木马包括Corentry, Backdoor.Trojan.LH1和 Backdoor.Trojan.LH2。Vault 7泄露的第二个文档详细描述了Fire and Forget，一种用于通过称为“Archangel”的工具对用户模式注入有效载荷的规范。泄露的第三份文件概述了恶意软件工具应遵循的加密协议，包括使用SSL来防止中间人（MITM）攻击，每次连接交换一次密钥，以及使用带有32位密钥的AES。这些要求与赛门铁克发现的所有Longhorn工具中所遵循的加密实践相一致。其他Vault 7文档概述了要使用的交易手段，例如使用实时传输协议（RTP）作为C＆C通信手段，采用擦除使用（wipe-on-use）作为标准做法，内存中字符串使用唯一的部署时间键进行字符串混淆，以及使用涉及重命名和重写的安全擦除协议。