Todos los APTs tienen algunas características en común, pero sin dudas una de las mayores características es la capacidad de ocultamiento por parte de este tipo de amenazas.

Al ser amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas. Sin embargo, en su nombre en ningún momento aparece la palabra “sigilosa” (en inglés Stealth), advanced persistent threat hace referencia a tres características muy importantes en este tipo de malware sin importar la diferencia que pudiera existir en todas las definiciones que podemos encontrar en Internet.

Por ejemplo, en el caso de Stuxnet se han logrado identificar al menos 20 tipos de codificación distinta, evitando la posibilidad de obtener un perfil de su programador. Se les llama persistentes (en inglés Persistent) ya que sus creadores toman muy en serio su objetivo.

Quienes tienen la tarea de desarrollar una APT, no buscan un rédito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa se encontró residiendo dentro de algunas empresas por más de un año. Se les llama amenazas (en inglés Threat) debido al nivel de coordinación humana involucrada en el ataque. A diferencia de otras piezas de código totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagas.

Pueden distinguirse tres grandes grupos o vectores de introducción de una APT en una organización:

Infección de malware proveniente de Internet	Infección de malware por medios “físicos”	Infección por exploit externo
Downloaders Archivos adjuntos en correos electrónicos Archivos compartidos o redes P2P Software pirata o uso de Keygens Phishing Envenenamiento de DNS, etc.	Pendrives o Sticks USB CDs o DVDs Tarjetas de memoria Appliances Equipos de tecnología con backdoors	Hackers profesionales Vulnerabilidades Ingreso por Wifi Ataque a la nube