2022年3月24日至2023年4月11日，NSA通过“三角测量”行动对授时中心十余部设备进行攻击窃密。2022年9月，攻击者通过授时中心网络管理员某国外品牌手机，获取了办公计算机的登录凭证，并利用该凭证获得了办公计算机的远程控制权限。2023年4月11日至8月3日，攻击者利用匿名通信网络节点远程登录办公计算机共80余次，并以该计算机为据点探测授时中心网络环境。

2023年8月3日至2024年3月24日，攻击者向网管计算机植入了早期版本的“Back_eleven”，窃取网管计算机数据，并在每次攻击结束后清除网络攻击武器内存占用和操作痕迹。该阶段“Back_eleven”功能尚未成熟，攻击者每次启动前需远程控制关闭主机杀毒软件。

2024年3月至4月，攻击者针对授时中心网络环境，定制化升级网络攻击武器，植入多款新型网络攻击武器，实现对计算机的长期驻留和隐蔽控制。攻击者加载“eHome_0cx”“Back_eleven”“New_Dsz_Implant”，配套使用的20余款功能模块，以及10余个网络攻击武器配置文件。攻击者利用多款网络攻击武器相互配合，搭建起4层加密隧道，形成隐蔽性极强且功能完善的网攻窃密平台。

2024年5月至6月，攻击者利用“Back_eleven”以网管计算机为跳板，攻击上网认证服务器和防火墙。6月13日9时，攻击者激活网管计算机上的“eHome_0cx”，植入“Back_eleven”“New_Dsz_Implant”，并以此为跳板窃取认证服务器数据。7月13日9时，攻击者再次激活网管计算机上的“eHome_0cx”，下发“Back_eleven”和“New_Dsz_Implant”窃取数据。

攻击者在此次网络攻击事件中使用的网攻武器、功能模块、恶意文件等总计42个，主要网攻武器按照功能可分为前哨控守类武器、隧道搭建类武器、数据窃取类武器。“eHome_0cx”由4个网攻模块组成，通过DLL劫持系统正常服务实现自启动，在启动后抹除内存中可执行文件头数据，以隐藏网攻武器运行痕迹。“Back_Eleven”用于搭建网络通信和数据传输隧道，实现对其他类型网络攻击武器的远程控制和窃密数据的加密传输。“New-Dsz-Implant”则是一个网攻武器框架，通过加载各种插件模块来实现具体的窃密功能。本次网攻事件中，攻击者使用“New-Dsz-Implant”加载了25个功能模块。