2021年10月14日，ATW在“陣列論壇”（RaidForums）發(fā)布題為“人民幣行動(dòng)（Operation Renminbi）”的帖子，稱(chēng)“出售中國(guó)某金融機(jī)構(gòu)相關(guān)軟件項(xiàng)目源代碼”。

2021年11月2日，ATW組織在“陣列論壇”發(fā)布信息，稱(chēng)“中國(guó)某互聯(lián)網(wǎng)科技公司已被其攻破”，并提供了數(shù)據(jù)庫(kù)和SSH密鑰的下載方式。

2021年11月24日，ATW組織發(fā)布了16個(gè)政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況，涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地。

2022年1月7日，ATW組織聲稱(chēng)出售“中國(guó)大量政府、非政府組織、機(jī)構(gòu)和公司數(shù)據(jù)，待售數(shù)據(jù)涉及102家中國(guó)實(shí)體單位”。

2022年3月4日，ATW組織宣布解散，但3月5日又宣布經(jīng)費(fèi)充足再次上線(xiàn)。

2022年3月6日，ATW在電報(bào)群組中發(fā)布消息稱(chēng)“攻破了中國(guó)某投資公司，竊取了大量數(shù)據(jù)”，并提供了數(shù)據(jù)的下載鏈接。

2022年3月28日，宣稱(chēng)“中國(guó)某商業(yè)銀行已被攻破”，發(fā)布“整個(gè)后端源代碼、maven 版本”等數(shù)據(jù)。

調(diào)查發(fā)現(xiàn)，ATW組織宣稱(chēng)攻擊竊取涉我黨政機(jī)關(guān)、科研機(jī)構(gòu)等單位的數(shù)據(jù)，實(shí)則均來(lái)源于為我重要單位提供軟件開(kāi)發(fā)的中小型信息技術(shù)和軟件開(kāi)發(fā)企業(yè)，竊取數(shù)據(jù)也多為開(kāi)發(fā)過(guò)程中的測(cè)試數(shù)據(jù)。

該組織的攻擊手法主要是針對(duì)SonarQube、Gogs、Gitblit等開(kāi)源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞實(shí)施大規(guī)模掃描和攻擊，進(jìn)而通過(guò)“拖庫(kù)”，竊取相關(guān)源代碼、數(shù)據(jù)等。相關(guān)信息可用于對(duì)涉及的網(wǎng)絡(luò)信息系統(tǒng)實(shí)施進(jìn)一步漏洞挖掘和滲透攻擊，屬于典型的“供應(yīng)鏈”攻擊。

該組織的行為與自我標(biāo)榜的“道德黑客”著實(shí)相去甚遠(yuǎn)，并非向存在漏洞的企業(yè)發(fā)布預(yù)警提示信息，以提高這些企業(yè)的安全防范能力。相反，更多的是利用這些漏洞實(shí)施攻擊滲透、竊取數(shù)據(jù)，并在黑客論壇恣意曝光，炫耀“戰(zhàn)果”。2022年以來(lái)，ATW組織滋擾勢(shì)頭加劇，持續(xù)對(duì)中國(guó)的網(wǎng)絡(luò)目標(biāo)實(shí)施大規(guī)模網(wǎng)絡(luò)掃描探測(cè)和“供應(yīng)鏈”攻擊。為凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性，多次對(duì)所竊數(shù)據(jù)進(jìn)行歪曲解讀、夸大其詞，竭力配合美西方政府為我扣上“網(wǎng)絡(luò)威權(quán)主義”帽子，并大力煽動(dòng)、詆毀中國(guó)的數(shù)據(jù)安全治理能力，行徑惡劣，氣焰囂張，自我炒作、借機(jī)攻擊中國(guó)的意圖十分明顯。