Una campagna tracciata come HazyBeacon mostra come una normale funzionalità serverless possa essere riutilizzata come comando e controllo occulto quando i controlli di accesso sono troppo aperti.
Un cluster di malware tracciato come HazyBeacon mostra come le normali funzionalità serverless possano essere riadattate in canali di comando clandestini quando i controlli dell'identità e le impostazioni di esposizione sono deboli.
HazyBeacon, tracciato come CL-STA-1020, mostra come le funzionalità legittime di AWS possano essere riutilizzate in canali di comando e controllo a bassa rumorosità, più difficili da individuare di un classico server controllato dall'attaccante.