APTチームは上記のようにいろいろなツール、ネットワーク、侵入手段、ウィルス等を駆使するが、これらを全く新しく作るわけではない。多くの環境は「使いまわし」をする。これは普通のICT関連開発プロジェクトでしているのと同じだ。IPアドレスのような直接的なものでなくても、プログラムの書き方ツールの選び方や使う順番など、やっている人間とかチームの特徴はそこかしこに残る。以前APT10が攻撃してきた事例は、いくつか記録されている。
経団連への攻撃の前記8段階のうちで、同じIPアドレスから発信されていたり、似たようなツールの痕跡があったり、ウィルスのサンプルと一致したりすれば、この記事のようにAPT10のしわざと疑うことが出来る。こういう手法を「アトリビュート」というらしい。記事には英国のBAEシステムズやPwCコンサルティングがAPT10特定に一役買ったとある。007ではないが英国の諜報機関は今でもかなりの力を持っていて、特に昨今はこれらの企業の力も借りてサイバーセキュリティの世界で存在感を示している。
APT10追跡にあたっても、英国政府NCSCは上記2社の協力をえてAPT10が行っている「Operation Cloud Hopper」に関する報告書を2017年の時点で公表している。その後攻撃の実行犯と思しき集団の行動を分析、彼らの攻撃インフラが天津のIPアドレスにあることも昨年8月に公表している。
