黑产大数据：2025年互联网黑灰产趋势年度总结

关于威胁猎人 威胁猎人ThreatHunter（深圳永安在线科技有限公司）成立于2017年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景，提供成熟多样的产品与服务，并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳，在北京、上海、重庆、新加坡等地设有分公司，并在深圳和重庆两地建立数字风险应急响应中心（DRRC），为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前，公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务，覆盖85%头部互联网企业，每年帮助客户减少数十亿资金损失。 目录 前言......................................................................................................................................................................4 一、2025年互联网黑灰产攻击资源分析....................................................................................................6 1.12025年作恶手机号资源分析.........................................................................................................61.22025年作恶IP资源分析..............................................................................................................201.32025年网络洗钱资源分析...........................................................................................................241.42025年风险邮箱资源分析...........................................................................................................33 二、2025年黑产通用型攻击技术分析.....................................................................................................36 2.1手机端智能体的安全围栏与越权风险........................................................................................362.2AI换脸技术升级：从“单点工具”到“AI工作流”，黑产攻击成本呈指数级下降.......402.3自动化工具突破“三色炫光”防线，黑产攻击门槛降低......................................................45 3.1业务场景分析..................................................................................................................................503.2金融信贷欺诈分析.........................................................................................................................633.3钓鱼仿冒场景分析.........................................................................................................................713.4数据泄露场景分析.......................................................................................................................77 写在最后：......................................................................................................................................................87 前言 过去一年，互联网黑灰产并未因监管趋严而退场，反而在资源结构、作恶方式与技术路径上发生了显著演化。 威胁猎人基于对黑产情报体系的持续监测发现：2025年，黑灰产正在从“堆资源、拼人力”的传统模式，转向更隐蔽、更低成本、更接近真实用户行为的“类真人化、智能化作恶”阶段。 报告内容关键点总结： 攻击资源层面：拦截卡、劫持代理、真人众包等“更像真人”的资源大规模替代传统猫池卡；相较以往高度可识别的黑资源，这类资源更贴近真实用户与真实设备形态，显著提升了攻击隐蔽性与存活周期，也加大了溯源与治理难度。 攻击技术层面：生成式AI与智能体技术的爆发，不仅为业务创新带来了机遇，也为黑灰产提供了低门槛、高效率的自动化作恶工具。同时，在非AI技术方面，自动化工具突破人脸活体检测“三色炫光”防线，传统的基于颜色匹配的防御策略面临挑战 在攻击场景方面， ·业务欺诈：以高补贴、高流量场景为核心，黑产围绕营销补贴和业务规则进行系统性利用；黑产自动化作恶进入“智能体阶段”。 ·信贷欺诈：职业背债风险舆情量较2024年增长168%，从贷款类型来看，企业贷欺诈风险、信用贷欺诈风险、房贷欺诈风险位列前三；恶意贷款欺诈风险值广东风险值远超其他地区。 ·钓鱼仿冒：从传统的“点链接”进化为“GEO投毒”认知劫持，通过污染AI搜索引用的高权重信息源，诱导主动寻求帮助的用户拨打虚假客服电话。 ·数据泄露：泄露风险高度集中于“泛金融”板块，且黑产已进入利用AI模型对“消金申请”等高价值数据进行清洗与质量控制以提升诈骗转化率的新阶段。 面对不断演进的黑灰产威胁，威胁猎人发布《2025年互联网黑灰产研究报告》，基于平台捕获的海量风险数据和典型案例分析，从攻击资源、技术演化、重点场景等维度全景呈现当前黑产发展态势，旨在为各行业风控建设提供实战情报支持，助力提升对新型黑产的洞察力与防御力。 01 黑灰产攻击资源分析 一、2025年互联网黑灰产攻击资源分析 1.12025年作恶手机号资源分析 1.1.12025年国内作恶手机号新增数量超1100万，较2024年提升30.02% 据威胁猎人情报平台数据显示，2025年，国内作恶手机号新增量级超1100万，较2024年提升30.02%。 黑产作恶的主要手机号资源有两种类型： 猫池卡：手机卡掌握在黑产手中，并插在特殊设备“猫池”上收发短信验证码，属于传统接码手机号。 拦截卡：手机卡插在正常人持有的设备上，设备存在后门导致短信验证码被黑产拦截。 据威胁猎人情报平台数据显示，在2025年全年新增国内作恶手机号资源中，拦截卡资源占比由2024年的39.5%提升至2025年的69.23%。下文1.1.2和1.1.3将重点分析“猫池卡”和“拦截卡”资源的变化情况。 1.1.22025年国内猫池卡资源变化趋势 （1）2025年国内新增猫池卡349万，较2024年下降33.85% 据威胁猎人情报平台数据显示，2025年国内捕获新增猫池卡349万个，较2024年下降33.85%。 从2025年国内猫池卡数量的变化趋势来看，自4月起，新增国内猫池手机卡数量呈现下滑趋势。 经威胁猎人情报专家分析，出现这一趋势的主要原因是： 1、上游黑卡卡商供给收缩 受监管打击影响，多个卡商机房关停、部分卡商被捕，猫池卡整体供给能力明显收缩，直接导致新增猫池卡数量下降。 威胁猎人监控数据分析，上海卡商近年跃升为猫池卡供应的头部卡源。2025年1—4月期间，上海地区猫池卡新增数量持续上升，并于3月达到阶段性峰值，当月来自上海的新增猫池卡占国内新增总量的23.42%。 然而，2025年5月监管集中打击行动中，上海卡商首当其冲受创，多个机房关停、卡商被捕，导致供给端快速收缩，新增猫池卡数量下降，5月份当月国内新增猫池卡中仅有8.32%来自上海。 上海新增黑卡数量在监管打击期间大幅下降，导致全国猫池卡整体数量下滑。 2、某主流接码平台停止运营 某主流接码平台在2025年1—9月期间累计捕获猫池卡数量超过百万，长期承担着黑灰产的重要接码需求。 然而，年内该平台频繁出现服务器波动，平台稳定性显著下降，导致接码成功率骤降，黑产日常违规操作节奏被持续干扰；进入9月后，该平台最终彻底停止运营；这进一步阻断下游黑卡供给链路。 （2）2025年国内新增猫池卡归属省份TOP3：重庆、上海、广东，归属于重庆地区的猫池卡新增数量由2024年第九名上升至2025年第一名 威胁猎人对2025年新增国内猫池卡进行统计分析，发现重庆、上海、广东三省（含直辖市）为猫池卡归属地最多的三个省份。 其中，归属地在重庆的猫池卡数量同比2024年增长了106.63%，对比2024年排名上升了8位。威胁猎人关注到，今年重庆的猫池卡在全年各月均保持较高数量。 威胁猎人研究人员进一步分析发现，重庆地区新增猫池卡的运营商分布呈现出明显的阶段性迁移特征。3—6月期间，新增猫池卡主要归属于运营商D，并在6月达到峰值；而进入7月后，其运营商来源发生显著转移，并快速集中至运营商A （3）2025年国内新增猫池卡归属为三大运营商的占比为71.77%，比去年降低4.65% 威胁猎人情报数据显示，2025年监测到的新增猫池卡中，其中归属于三大运营商的猫池卡占比为71.77%。 1.1.32025年国内拦截手机卡资源变化趋势 （1）2025年国内新增拦截卡786万例，较2024年提升127.77% 据威胁猎人情报平台数据显示，2025年，威胁猎人捕获的国内新增拦截卡数量大幅增加，达786万例，较2024年增长127.77%。拦截卡热度暴涨的背后，是越来越多的企业加强了传统接码手机号的风控，加上传统接码手机号数量逐步下滑，黑产只能转向“更像真人”的拦截卡。 对黑灰产拦截卡供给情况的进一步分析显示： 拦截卡是黑产利用特定的“黑卡物料”实施的作恶行为。号卡实体由普通人持有，但用户所用设备被黑产或设备生产厂家植入病毒或后门，导致短信接收权限被窃取，进而使验证码短信遭劫持。此类设备多为老人机、儿童手表等低端设备。 2024年以来，拦截卡相关黑产呈现“打击-收缩-反弹”的循环态势——平台遭受打击后会迅速隐匿，待打击力度减弱后，便快速重启作恶链路，导致该类黑产行为难以从源头根治。 2024年下半年至2025年上半年，主流拦截卡平台持续受到监管力量打击，导致供卡侧规模大幅下降。2025年1-4月期间，原本活跃的6个拦截卡平台（供卡渠道）中，仅剩余2个处于半停滞状态；而到了5月下旬，监测发现新增4个供卡渠道，此前处于半停滞状态的2个供卡渠道，黑产更换了域 名、接码工具后恢复活跃。 黑产完