Злоумышленники могут искать и собирать информацию о своих жертвах в закрытых источниках, чтобы использовать ее для атак. Информация о жертвах из авторитетных частных источников и баз данных может продаваться, например, в рамках платных подписок на каналы технических данных и сведений об угрозах. Злоумышленники могут также покупать информацию из менее авторитетных источников, таких как даркнет или теневые рынки.

Злоумышленники могут искать информацию в различных закрытых базах данных в зависимости от того, что именно их интересует. Информация из этих источников может открыть дополнительные возможности для разведки (например, фишинга с целью сбора сведений или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа или компрометации существующих учетных записей).