2025全球高級(jí)持續(xù)性威脅(APT)研究報(bào)告 復(fù)雜嚴(yán)峻挑戰(zhàn)：境外國家級(jí)APT攻擊持續(xù)不斷，人工智能驅(qū)動(dòng)的新型攻擊與供應(yīng)鏈滲透風(fēng)險(xiǎn)集中顯響和危害極大；來自我國臺(tái)灣省地區(qū)的APT組織主要針對(duì)我國政府機(jī)構(gòu)和教育科研等領(lǐng)域展開釣魚 ★東歐★東歐 基于APT組織攻擊活動(dòng)頻次、攻擊活動(dòng)影響單位和終端數(shù)量、攻擊技戰(zhàn)術(shù)水平等多個(gè)指標(biāo)，我們對(duì) 東歐 美網(wǎng)絡(luò)攻擊我國某智慧能源和數(shù)字信息大型告告告 攻擊者利用境外網(wǎng)絡(luò)資產(chǎn)作為主控端服務(wù)器持續(xù)實(shí)施了千余次攻擊，嚴(yán)重破壞我國關(guān)鍵信息基礎(chǔ)設(shè)其他各類網(wǎng)絡(luò)攻擊武器，包括隧道搭建類武器（Back_Eleven）以及數(shù)據(jù)竊取類武器（New-Dsz- 公網(wǎng)防火墻公網(wǎng)防火墻 球化，深度集成AI技術(shù)提升社會(huì)工程調(diào)研和攻擊效率。同時(shí)利用跨平臺(tái)惡意軟件框架實(shí)現(xiàn)全場景覆 員投遞的一款名為WoobinProxy的復(fù)雜多功能后門組件。攻擊者通常利用偽裝成招聘文檔的惡意 我們?cè)谧粉櫾摻M織的過程中捕獲到該組織使用的一款功能完備的定制化監(jiān)控程序，具備完整的遠(yuǎn)程 朝鮮半島地區(qū)APT組織眾多、攻擊活躍，APT-C-28（ScarCruft）組織、APT-C-55（Kimsuky） C2服務(wù)采用HTTPPOST與ID指令協(xié)議、Base64+XOR通信混淆實(shí)現(xiàn)通信保護(hù)；同時(shí)，還利用 防系統(tǒng)的全面控制權(quán)限和數(shù)據(jù)訪問權(quán)限，利用安防系統(tǒng)的實(shí)時(shí)視頻和歷史數(shù)據(jù)對(duì)目標(biāo)所在區(qū)域?qū)嵤? ” 其釣魚攻擊手法是通過釣魚郵件下發(fā)偽裝成PDF的LNK文件，當(dāng)用戶運(yùn)行文件后會(huì)執(zhí)行內(nèi)嵌的PS指 目前發(fā)現(xiàn)該組織有三種主要攻擊手法。三種手法主要的不同之處是攻擊初始的攻擊載荷投遞和加載 透明部落組織投遞的SaadaC2后門程序主要功能是竊取用戶瀏覽器密碼、竊取文檔文件、下載 擊活動(dòng)旨在通過破壞文件系統(tǒng)和主引導(dǎo)記錄來不可逆地銷毀關(guān)鍵數(shù)字資產(chǎn)，從而削弱烏克蘭的經(jīng)濟(jì) 過魚叉式網(wǎng)絡(luò)釣魚利用Web郵件平臺(tái)中的XSS漏洞，向受害者頁面注入定制的“SpyPress”惡意 國國務(wù)院，發(fā)送“關(guān)于加?Microsoft365Tenant外部??”或“MeasuringIn?uenceOperationsTeams群組”的虛假邀請(qǐng)函。?旦受害者中招，攻擊者即可在?需竊取密碼的情況下獲得賬?的 在此攻擊活動(dòng)中，攻擊者利用合法攔截手段安裝偽裝成Kaspersky反病毒軟件的根證書，之后使用 LNK下發(fā)后續(xù)惡意組件，然后層層加載最終實(shí)現(xiàn)PowerLess木馬的部署，從而完成竊密活動(dòng)。 Phishing-ObfuscatedFilesorInformation↑1IngressToolTransfer↑1CommandandScriptingInterpreter↓2ApplicationLayerProtocol-UserExecution-SystemInformationDiscovery↑1IndicatorRemoval↑4EncryptedChannel↑10Masquerading↓1ScheduledTask/Job↓4BootorLogonAutostartExecution↓2Ex?ltrationOverC2Channel↓2ProcessInjection-HijackExecutionFlow↓2Deobfuscate/DecodeFilesorInformation↓1FileandDirectoryDiscovery↑1InputCapture↓1DataEncoding↑7ExploitPublic-FacingApplication↓4 根據(jù)統(tǒng)計(jì)2025年，全球APT組織在攻擊活動(dòng)利用的影響較大的0day漏洞共計(jì)42個(gè)，涉及IOS、 究其背后的關(guān)鍵誘因，主要是開源生態(tài)的信任紅利被濫用，開源倉庫的開放注冊(cè)特性降低了攻擊門企業(yè)應(yīng)構(gòu)建全周期安全體系，部署私有鏡像倉庫隔離公共源風(fēng)險(xiǎn)，集成自動(dòng)化安全檢查，通過 標(biāo)組織地理位置相匹配的被盜身份，創(chuàng)建電子郵件賬戶和社交媒體資料，并創(chuàng)建虛假的作品集、在以色列與伊朗全面對(duì)抗中，伊朗高層領(lǐng)導(dǎo)人和核計(jì)劃專家被執(zhí)行定點(diǎn)清除，從打擊的準(zhǔn)度和精度 ”系提出了極?挑戰(zhàn)，成為當(dāng)前?絡(luò)安全對(duì)抗的核?痛點(diǎn)之?。APT-C-28（ScarCruft）組織虛假的現(xiàn)代攻擊武器不再局限于單?操作系統(tǒng)或終端類型，?是實(shí)現(xiàn)了對(duì)Windows、Linux、macOS、“多平臺(tái)運(yùn)?””的武””” 領(lǐng)域構(gòu)建起自主可控的數(shù)字基礎(chǔ)設(shè)施與關(guān)鍵信息基礎(chǔ)設(shè)施。這種技術(shù)突圍打破了既有的全球科技格從利用國產(chǎn)軟件漏洞制作釣魚誘餌，到美情報(bào)機(jī)構(gòu)通過OA系統(tǒng)供應(yīng)鏈漏洞竊取密碼和研發(fā)核心數(shù)日趨激烈的網(wǎng)絡(luò)空間博弈，我們要將安全理念深植產(chǎn)業(yè)發(fā)展血脈。唯有技術(shù)創(chuàng)新與安全防護(hù)雙輪驅(qū) APT組織的動(dòng)機(jī)往往能體現(xiàn)出國家政治利益，博弈層次已經(jīng)從攻防技術(shù)演變?yōu)檐娛峦亓徒?jīng)濟(jì)安 sophisticated-attack-of-donot-apt-group-on-southern-european-government-entities/16./blog/inside-bluenoro?-web3-intrusion-analysis17.https://?elde?/blog/zoom-doom-bluenoro?-call-opens-the-door18.https://6068438./hubfs/6068438/saja-dprk-employment-scam-network.pdf19./en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-in?ltrate-organizations/20.https://www.genians.co.kr/en/blog/threat_intelligence/android?hsCtaAttrib=25521./2025/iranian-educated-manticore-targets-leading-tech-academics/22./en/eset-research/bladedfeline-whispering-dark/23./iranian-attackers-impersonate-model-agency/24./s/nY2Hyg6ZsM7V25.https://hunt.io/blog/track-apt34-like-infrastructure-before-it-strikes26./us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot27./bellacpp-cpp-version-of-bellaciao/115087/28./2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/ 29./blog/muddywater-infrastructure-malware/#introduction30./s/BHyqfnMMMAvDDX_LZVubyA31./en-us/resources/blogs/spiderlabs-blog/tracing-blind-eagle-to-proton66/32./Merlax/status/191978673564883372733./2025/blind-eagle-and-justice-for-all/#single-34./s/leEKONeK1JsAvPRF835./research/drat-v2-updated-drat-emerges-tag-36.https://hunt.io/blog/apt36-click?x-campaign-indian-ministry-of-defence37./blog/goodbye-hta-hello-msi-new-ttps-and-clusters-of-an-apt-driven-by-multi-platform-attacks/38./p/9a61b251-aa91-46df-b36a-dea00c3b8add/40./s/nyxZFXgrtm2-tBiV3-wiMg41./s/Cx-v95Ua8U7I77-yQFckpA42./s/m2G9oLHv04HJDW8mB5rDA43.https://3/a/de583b/4MIDCq1bC5d 60./61./developer/article/256492062./article/7590002044509930036/63./article/819037.html64