全球APT攻击态势与主要特征 - 2025年全球网络安全厂商累计发布APT报告700多篇，涉及APT组织140个，其中首次披露的组织有42个，较2024年同期有所增加 [2] - APT攻击活动聚焦地区政治、经济等时事热点，目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业 [2] 针对中国的网络攻击活动 - 2025年北美地区APT组织对中国的攻击呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核心特征 [4] - 北美APT组织在2025年年初针对中国智慧能源和数字信息大型高科技企业展开攻击，意图窃取核心技术与商业机密 [4] - 2月，以APT-C-40（NSA）组织为核心，联合美国高校作为“学术掩护体”，针对中国亚冬会相关服务及黑龙江地区关键基础设施展开攻击 [4] - 10月，中国国家安全机关披露了APT-C-40（NSA）组织对中国国家授时中心实施的重大网络攻击活动 [4] - 在台海方向，民进党当局支持的多个黑客组织长期针对中国政府机构、科研单位、高等院校、国防科技企业等实施网络间谍活动 [5] - 已被曝光的APT-C-01（毒云藤）、APT-C-67（乌苏拉）等组织持续窃取政策、军工、经济敏感数据 [5] - APT-C-64（匿名者64）试图通过攻击数字媒体破坏社会秩序，将网络攻击转化为政治工具 [5] 攻击技术演进：0day漏洞与供应链攻击 - 2025年APT组织在攻击中利用的0day漏洞数量较2024年有所增加，针对中国境内网络设施的0day攻击上升明显 [6] - 全球APT组织在2025年利用的影响较大的0day漏洞共计42个，涉及iOS、Windows、Android、Chrome以及VMware等多个平台 [6] - 针对iOS系统的“PAC绕过漏洞”（CVE-2025-31201）影响面较大，已被用于针对特定iOS用户发起攻击 [6] - 2025年APT组织攻击的另一个特点是利用“开源代码仓库”方式进行供应链攻击 [7] - APT组织在代码仓库中构建含有后门的恶意软件项目和软件包，诱导开发人员引用，实现供应链投毒 [7] - 攻击者还入侵开发者主机，使用攻击武器自动感染开发者维护的软件包，然后强制发布补丁，产生级联感染效应 [7] 未来威胁趋势：地缘冲突与攻击武器 - 报告警告，在地缘政治冲突中，国家级APT攻击必将延伸至军事、通信、电力、能源等国计民生核心行业 [9] - “擦除器”类攻击武器意图永久破坏目标系统数据，使其丧失可用性，攻击过程快速、彻底、隐蔽 [9] - 勒索攻击是破坏基础设施的重要手段，其核心目标是数据劫持以获取赎金 [10] - 在APT组织开展的勒索攻击中，往往有更为隐晦的攻击目的，如掩盖真实意图或干扰事件归因 [10] - 随着“窃密+加密”的双重勒索模式增多，黑灰产攻击者在数据劫持成功后将被劫持系统售卖给APT组织的商业转让将会更多发生 [10] - APT组织日益倾向于开发跨平台攻击武器，以覆盖多种终端，对传统单点防御体系构成严峻挑战 [11] AI驱动的网络攻击新范式 - AI应用显著提升了APT组织在社会工程学调研和攻击的效率，使其能够快速构造跨语言、跨文化、跨行业的精准诱饵 [12] - 2025年，攻击者使用AI技术结合钓鱼攻击，已从早期的“广撒网”式诈骗，进化为针对性极强的“精准制导”型攻击 [12] - APT-C-26（Lazarus）组织的虚假面试攻击利用AI的深度伪造技术进行钓鱼 [12] - 预计2026年深度伪造诈骗将常态化，利用视频会议诈骗、高管语音/视频指令欺诈成功率将会激增 [12] - 攻击者可以将多年积累的攻击手法、渗透经验、漏洞利用技巧等用于训练大模型，打造出“攻击者智能体”，自动完成攻击任务 [13] - 攻击者智能体易于批量复制，一个人类攻击者可以管理几十个甚至上百个攻击者智能体，加剧网络攻防的不对称性 [13]