2025年上半年互联网黑灰产趋势年度总结

关于威胁猎人 威胁猎人ThreatHunter（深圳永安在线科技有限公司）成立于2017年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景，提供成熟多样的产品与服务，并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳，在北京、上海、重庆、新加坡等地设有分公司，并在深圳和重庆两地建立数字风险应急响应中心（DRRC），为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前，公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务，覆盖85%头部互联网企业，每年帮助客户减少数十亿资金损失。 前言 2025年上半年，互联网黑灰产攻击持续演化，呈现出更隐蔽、更智能、更产业化的趋势。黑灰产从业人员数量继续增长，攻击资源、技术与作案场景全面升级。整体来看，2025年上半年黑灰产行业发生的几大事件，也时刻印证了黑灰产市场的核心规律——黑产永不眠，当主要交易平台被打击时，黑产及其作恶需求会迅速迁移至现有或新兴替代渠道。 报告内容关键点总结： 在攻击资源方面，威胁猎人捕获日均活跃风险IP达1382万例，环比上升15.02%，“劫持共用代理”IP攻击更加猖獗，计费模式更多元；黑卡渠道受监管打击后收缩明显，同时新型“链接接码”方式兴起，提升攻击隐蔽性；洗钱银行卡环比上涨28.60%，其中涉赌卡占比70.25%，环比上涨141%，与赌博平台新型充值方式“挂单充值”相关；洗钱对公账户环比下降40%，黑产目标逐渐从六大行转向城商行和农信社；商户洗钱数量上涨，行业集中于终端零售业、批发零售业、餐饮业。 在攻击技术方面，AI能力被黑产深度滥用，分钟级AI换脸、语音克隆已广泛应用于电诈与认证绕过场景，显著提升攻击效率与欺骗性。与此同时，“拉码工具”等洗钱技术工具流入黑产交易链，可直接将黑钱转入正规平台交易路径中进行清洗。 在攻击场景方面，营销欺诈、金融欺诈、电信诈骗、钓鱼仿冒、数据泄露、API攻击等典型场景依旧高发，攻击模式由单点操作向链式协同演进。整体来看，黑灰产已渗透至各行业业务链条，作案模式不断翻新，威胁持续扩大，防御体系亟需系统性升级。 面对不断演进的黑灰产威胁，威胁猎人发布《2025年上半年互联网黑灰产研究报告》，基于平台捕获的海量风险数据和典型案例分析，从攻击资源、技术演化、重点场景等维度全景呈现当前黑产发展态势，旨在为各行业风控建设提供实战情报支持，助力提升对新型黑产的洞察力与防御力。 目录 关于威胁猎人........................................................................................................................2 一、2025年上半年黑产攻击资源分析..........................................................................6 1.12025年上半年作恶手机号资源分析.................................................................61.22025年上半年作恶IP资源分析.....................................................................161.32024年网络洗钱资源分析...............................................................................211.42025年上半年风险邮箱资源分析..................................................................34 二、2025年上半年黑产通用型攻击技术分析...........................................................36 2.1AI技术助力黑产实现分钟级攻击....................................................................362.2拉码工具-抓取平台支付订单链接进行洗钱.................................................39 三、2025年上半年黑产攻击场景分析........................................................................42 3.1营销欺诈场景分析.............................................................................................423.2金融欺诈场景分析..............................................................................................573.3电信网络诈骗场景分析.....................................................................................673.4钓鱼仿冒场景分析.............................................................................................753.5数据泄露场景分析...........................................................................................833.6API安全场景分析...............................................................................................93 01 2025年上半年黑产攻击资源分析 一、2025年上半年黑产攻击资源分析 1.12025年上半年作恶手机号资源分析 1.1.12025年上半年新增国内风险手机号总量较2024年下半年环比下 2025年上半年，威胁猎人监测发现新增国内风险手机号总量出现下滑趋势，新增数量为226万，较2024年下半年环比下降26.16%。 1.1.22025年上半年猫池卡资源变化趋势 （1）2025年上半年国内猫池卡较2024年下半年减少26.16% 据威胁猎人情报平台数据显示，2025年上半年捕获新增猫池卡226万例，较2024年下半年环比下降26.16%。 猫池卡：指黑产“猫池”设备中，可被批量操控以实现收发短信等功能的手机SIM卡，常被不法分子用于违法活动。 经威胁猎人情报专家分析，出现这一趋势的主要原因是： 1、1月及2月因农历春节期间黑产交易放缓，下游作恶者活跃度降低导致供应量显著下降，节后恢复稳步上涨趋势；这一现象为黑灰产业的年度周期性规律。 2、2025年上半年猫池卡数量在5-6月呈下降趋势，主要原因为上游黑卡卡商供给收缩，2025年4月底起，供卡源遭受监管打击，卡商停止供卡，导致2025年上半年整体数据量下降，详细见2.1.3。 （2）2025年上半年新增猫池卡归属最多的三个省份为：上海、重庆、广东 威胁猎人对2025年上半年新增国内猫池卡进行统计分析，发现上海、重庆、广东三省（含直辖市）为猫池卡归属地最多的三个省份。 （3）2025年上半年新增猫池卡归属最多的三个城市为：上海、重庆、长沙 威胁猎人对2025年上半年新增国内猫池卡进行统计分析，发现上海、重庆、长沙三地为猫池卡归属地最多的三个城市。 （4）2025年上半年捕获的新增猫池卡中，归属国内三大运营商的占66.51% 威胁猎人情报数据显示，2025年上半年监测到新增猫池卡226万例，其中归属国内三大运营商的猫池卡占比66.51% 1.1.32025年国内拦截手机卡资源变化趋势 拦截卡：黑产通过病毒木马劫持手机短信收发权限，从而控制的手机号码，号码主人为正常用户。 （1）2025年上半年国内拦截卡较2024年下半年减少83.51% 据威胁猎人情报平台数据显示，2025年上半年，威胁猎人捕获新增拦截卡达15.5万，较2024年下半年减少83.51%。对黑灰产拦截卡供给情况的进一步分析显示： 2024年下半年至2025年上半年，主流拦截卡平台持续受到监管力量打击，导致供卡侧规模大幅下降。 1-4月期间，原本活跃的6个拦截卡平台（供卡渠道）中，仅剩余2个处于半停滞状态； 而5月下旬，监测发现新增4个供卡渠道，此前处于半停滞状态的2个供卡渠道，黑产更换了域名、接码工具后恢复活跃。 截止25年上半年，现存6大活跃供卡渠道，但上述平台的号码供给量级和质量均呈现不稳定波动状态。 （2）2025年上半年拦截卡归属最多的三个省份为：山东、河南、四川 针对2025年上半年捕获到的国内拦截卡统计分析发现，山东、河南、四川三省为拦截卡归属地最多的三个省份。 （3）2025年上半年新增拦截卡归属最多的三个城市为：重庆、菏泽、临沂 威胁猎人对2025年上半年新增国内拦截卡进行统计分析，发现重庆、菏泽、临沂三地为拦截卡归属地最多的三个城市。 （4）2025年上半年捕获的新增拦截卡中，归属国内三大运营商的占98.86% 2025年上半年威胁猎人情报运营平台捕获新增拦截卡达15.5万张，归属国内三大运营商的拦截卡占比达98.86%。 1.1.4监管打击供卡源：上游供卡源波动影响黑产作恶全链条 （1）头部供卡源上海卡商监管重创，国内猫池卡上半年锐减 威胁猎人监控数据分析，上海卡商近年跃升为猫池卡供应的头部卡源。2024年以来，提供号码归属为上海市的猫池卡卡商持续高度活跃，2024年新增上海猫池卡占全年新增总量的11.77%；2025年1到4月期间仍保持上升趋势，于4月达到峰值，当月新增国内新增猫池卡中24.93%来自上海。2025年5月监管打击行动中，上海卡商首当其冲受创，该卡源5月份新增占比全国的比重迅速下滑至月均占比8.29%。这也是上半年国内猫池卡出现大幅下降的主要原因。 上海新增黑卡数量监管打击期间大幅下降，导致全国猫池卡整体数量下滑，在下图可见，上海新增黑卡数量在5月出现锐减并在本年度首次低于广东、重庆黑卡，该格局目前仍保持。 2025年上半年黑卡产业链监管打击时间线如下，上游上海、重庆卡商相继遭受打击。 （2）上游供卡源的波动传导至黑产中游环节 作为黑产中游环节的发卡平台和接码平台，2025年5月到6月期间频繁出现迁址、关停维护或注销等情况，这进一步阻断下游黑卡供给链路。 以长期监控的黑产主流发卡平台团伙A为例，短期频繁更改使用的域名8次以上，域名存活周期缩短到15到21天不等，供卡数量亦呈现下滑趋势，从115万降至6月底35万。 而作为黑灰产主要作恶渠道之一的群接码渠道，观察捕获的接码短信记录亦呈现下降趋势——2025年5月至6月捕获的短信记录数量，较同年3月至4月下降了556万例，环比降幅约为7.26%。以黑产作恶重点目标“数字人民币”接码为例，其作恶短信数量变化趋势，便是这一影响的典型例证。 1.1.5链接接码：黑灰产新型接码方式兴起 2025年上半年，被称为“链接接码”的新型接码方式在发卡渠道兴起，黑产当前主要用于北美地区和中国香港地区的接码服务。截止6月份，已监控146万余条交易记录，涉链接接码相关域名140个，每周新