在地缘政治紧张的背景下，APT攻击正加速转变为国家竞争的数字化延伸。持续监测APT攻击活动不仅是网络安全防御的核心命题，更是国家安全战略的重要支撑。基于威胁全球狩猎系统的长期离岸与深度分析，绿盟科技伏影重磅发布《高级威胁研究报告（2025版）》，系统解构新型网络空间中的攻防演进逻辑，揭示APT威胁的趋势、威胁影响与全貌。

战略重点：要优先引导下一个攻坚式重构

2024年APT攻击呈现显着的战略性转向：攻击者突破传统网络间谍活动的聚合性底线，激进采用功利主义策略，将零日漏洞战略等资源前置至初始渗透阶段，通过整体攻击链实现快速成果转化。

显示，2024年，绿盟科技伏影实验室通过全球威胁狩猎系统捕获了67个APT组织296次攻击事件，其中47个APT活动由伏影实验室通过报告或博客首次披露。这些APT活动有91%来自42个已知APT组织，有9%的数据来自25个新兴APT组织。

攻击版图深度嵌入地缘冲突热点，东亚、南亚、东欧及中东地区集中了87%的APT事件，政府部门（22%）、独立组织或个人（16%）、科研机构（11%）构成三大核心标靶。

我国公网基础设施遭遇的间谍攻击量同比增长52%，关键信息节点的防护压力凸显数字争夺白热化。

技术对抗：反溯体系与检测技术的螺旋博弈

威胁检测技术的迭代，APT组织构建“面向一体”反溯体系：

战略欺骗层

东亚地区APT组织介入代码特征，实施跨APT组织特征嫁祸；

 

韋恩

东欧APT组织通过占领Andromeda（仙女座）、Moobot等僵尸网络控制节点，构建混合式攻击平台；

 

执行层

离地攻击（Living Off the Land）技术使用率快速提升，PowerShell、WMI等系统工具事件迅速增长。

 

技术政治化趋势催生新型攻击范式，严峻资源漏洞的武器化利用触发MSC文件钓鱼攻击激增，结合供应链污染的新型水坑攻击成功率远超传统钓鱼攻击，武器攻击者已形成技术与规格创新的良好机制。

 

目标演变：非快速打击的威胁扩散

尽管政府部门仍呼吁APT攻击目标达到22%，但其同期下降18个百分点，出攻击者策略的精准化转向：

实体泛化

独立组织遭遇袭击事件跃升16%，低空经济、AI等领域内的先进制造企业研发部门成为数据窃取的新阵地；

个体围猎

高价值个体定向攻击增长显着，科研人员、科研学者、军工供应链管理者遭遇定制化钓鱼攻击；

根源

关键基础信息化程度的提升同时也面临暴露面扩大的系统性风险，互联网应急广播终端被入室后门，安全防护设备遭受特种木马攻击。

 

2025趋势研判：体系化对抗升级

基于攻击者 TTP 的预设规律，报告预测未来威胁将提出三大特征：

技术升级：武器化迭代触发防御窗口期崩溃。APT组织将构建“漏洞捕获-武器化芯片-碎片”的融合开发体系，在野漏洞利用被披露后的响应时效将被迅速压缩。

目标针对：数字地缘学的精准打击范式。“数字丝绸之路”沿线新兴经济体将面临远超以往的定向攻击，关键基础设施成为主要标靶。

规模拓展：模糊战争边界下的体系化作战。APT组织日渐扩大的攻击规模将在2025年继续发展，对攻击成果的渴望将推动APT攻击者利用每一次新的机会攻击更多的目标。

 

关于影像实验室

重点关注安全威胁监测与对抗技术的研究，涵盖APT高级威胁、僵尸网络、DDoS、流行对抗服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。

研究目标是掌握现有网络威胁，识别并追踪新型威胁，精准溯源与反制威胁，降低风险影响，为威胁对抗提供困境的决策支撑。

采用前沿技术探索与实战对抗相结合的研究模式，帮助国家单位破获APT攻击案件数量，全球率先发现8个新型APT攻击组织，消除40多个涉及我的APT攻击事件，为国家重大网络犯罪做出突出贡献。