APT 团伙可能会在遭入侵的网络中停留很长一段时间或无限期停留，以便等待发动攻击的新机会。在此期间，他们可能会通过重写代码来隐藏恶意软件并安装 Rootkit 来保持其隐藏状态，而这些 Rootkit 可在不被发现的情况下访问敏感系统。某些情况下，他们可能会删除攻击证据，并在实现目标后彻底离开该网络。