HazyBeacon, tracciato come CL-STA-1020, mostra come le funzionalità legittime di AWS possano essere riutilizzate in canali di comando e controllo a bassa rumorosità, più difficili da individuare di un classico server controllato dall'attaccante.