2025年全球高级持续性威胁（APT）研究报告

研究报告 2025 2025GLOBAL ADVANCEDPERSISTENT THREATResearch Report CONTENTS/⽬录 2025年度全球⾼级可持续性威胁形势概览2025年度活跃APT组织统计概述004P005006PART

1 010P地区PART

2 北美朝鲜半岛中国台湾省东南亚南亚东欧中东南美011015029036042055062064 2025年APT攻击发展趋势分析066PPART

3 攻击活动使⽤的ATT&CK技战术
TOP20APT攻击活动0day漏洞统计利⽤开源代码仓库⽅式进⾏供应链攻击AI技术已被攻击者应⽤在深度伪造和诱饵制作等场景破坏背后的逻辑，⽹络攻击成为地缘政治⼯具跨平台攻击武器构造复杂攻击链针对海外机构的APT攻击增多，威胁⻛险加⼤国家级APT攻击瞄准国产应⽤，信创基础设施威胁凸显067069070071072074074075 2026年APT攻击发展趋势预测 AI驱动的攻击全⾯升级，智能体将⼤⼤提升攻击效率云基础设施与供应链攻击更为频繁关键基础设施成为破坏与勒索的⾸选⽬标量⼦计算威胁逼近，加密数据泄露不可不查⽹络攻击是混合作战的重要组成部分攻击技术持续升级、系统化攻击⼯程是必经之路077077078078079079 080P参考链接PART

5 PART

1 概述 004P009P2025年度全球⾼级可持续性威胁形势概览2025年度活跃APT组织统计 1、2025年度全球⾼级可持续性威胁形势概览 2025年，世界政治经济格局进⼊深刻演变期，传统秩序加速调整，新兴⼒量加快崛起。全球范围内冲突与博弈显著增多，地缘冲突在多地区凸显，多极化进程在曲折中持续向前。与此同时，⽹络安全态势正经历深刻演进，已从“技术层⾯对抗”升级为关乎国家⽣存与发展的战略博弈。我国⽹络空间安全⾯临复杂严峻挑战：境外国家级APT攻击持续不断，⼈⼯智能驱动的新型攻击与供应链渗透⻛险集中显现，⿊⾊产业链助推勒索攻击与数据泄露趋于产业化，⽹络空间防御体系承受全⽅位压⼒。 2025年，全球⽹络安全⼚商和机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于⾸次披露的APT组织42个，⽐2024年同期均呈现⼀定程度增加。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击⽬标集中分布于政府机构、国防军⼯、信息技术、⾦融、教育等⼗⼏个重点⾏业领域。当前，国家层⾯的⽹络攻防对抗不再局限于传统安全范畴，已经逐渐成为国家战略体系中不可或缺的组成部分。 我国历来是APT组织攻击的重点区域。依托360安全⼤模型，360⾼级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。相关APT组织主要来⾃北美、东亚、南亚、东南亚等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军⼯、制造等15个重点⾏业领域。 2025年，北美和我国台湾省地区的APT组织活跃度较往年明显增加，这与中美政博弈、台海局势发展密切相关。来⾃北美地区的APT攻击技战术⽔平⾼超，主要针对我国重点科研和关基单位，造成的影响和危害极⼤；来⾃我国台湾省地区的APT组织主要针对我国政府机构和教育科研等领域展开钓⻥攻击，从⽽进⾏渗透和窃密。 2025年，360再次捕获并披露了到4个全新APT组织，分别为北美地区的APT-C-78、东亚地区的APT-C-64（匿名者64）、APT-C-67（乌苏拉）和南亚地区的APT-C-76（银环蛇）。截⾄2025年底，360已累计率先发现并披露了60个境外APT组织。 2025年，全球APT组织攻击技战术向规模化与战略化演进，供应链安全成为关键防线。在未来攻防两端对抗中AI技术的运⽤中，使得“AI对战AI”成为常态。⽹络空间的攻防对抗步⼊智能驱动、攻防前置、全域联动的新阶段。 2、2025年度活跃APT组织统计 2025年，全球⼤国竞争呈现⽩热化，在军事、政治、经济等领域的博弈进⼀步深化，“国家级”背景的APT组织的攻击活动更加贴近的于地缘政治势⼒在地区博弈和竞争的战略。尤其在地缘军事⾏动中，国家级APT攻击已经成为战争战略战术的重要⼀环。 在此形势下，全球APT组织继续保持⾼活跃度。截⽌2025年底，全球⽹络安全⼚商以及机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于⾸次披露组织42个。从全球范围看APT组织攻击⽐较集中的⾏业为政府机构、国防军⼯、信息技术、⾦融、制造等领域。 我国历来是地缘周边APT组织攻击的重点区域。依托360安全⼤模型，360⾼级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。APT组织攻击源主要来⾃南亚、东南亚、东亚以及北美等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军⼯、制造等15个重点⾏业领域。 基于APT组织攻击活动频次、攻击活动影响单位和终端数量、攻击技战术⽔平等多个指标，我们对2025年攻击活动影响我国的APT组织活跃度进⾏综合评估，得出下表。 APT组织对我国政府、教育、科研⾏业攻击占⽐超过七成，其危害远超普通⽹络攻击，直接关系国家安全与科技发展命脉。针对我国政府、教育和科研机构的⾼级持续性威胁攻击呈现出⾼频次、⾼隐蔽性、⾼战略意图的特征，已成为危害我国国家安全、科技主权与数据主权的核⼼⻛险之⼀。这些攻击的背后往往是由境外情报机构主导、具备国家级资源⽀持的系统性⽹络间谍活动，其⽬的远超经济窃密，直指国家核⼼竞争⼒与战略安全。 PART

2 010P065P北美朝鲜半岛中国台湾省东南亚南亚东欧中东南美 1、北美 2025年的中美两国在政治、经济、贸易等多个领域激烈博弈，中美关系逐渐形成“竞争为主、对抗可控、合作局部”的新平衡。在此背景下，2025年北美地区APT组织对我国的⽹络攻击活动，呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核⼼特征。 2025年年初，北美地区APT组织，针对我国智慧能源和数字信息⼤型⾼科技企业展开⽹络攻击，意图窃取核⼼技术与商业机密，影响⾼科技产业竞争；2⽉，以APT-C-40（NSA）组织为核⼼执⾏机构，联合美⾼校作为“学术掩护体”，针对我国亚冬会相关服务展开攻击活动，威胁亚冬会赛事系统与⿊⻰江地区关键基础设施，美⽅3名TAO特⼯因此次攻击事件被我国通缉；10⽉，我国国家安全机关再次披露了APT-C-40（NSA）组织对我国国家授时中⼼实施的重⼤⽹络攻击活动。 360⾼级威胁研究院在2025年捕获到多起北美地区APT组织对我国关基单位的重⼤⽹络攻击活动。这些⽹络攻击活动聚焦在关键基础设施（能源、电信、交通、授时）、⾼科技（半导体、量⼦、先进材料）、重⼤赛事与政府机构领域。其战略意图是期望通过技术遏制，窃取核⼼技术，延缓中国⾼科技产业的发展和突破；同时在关键基础设施植⼊后⻔，形成“战时破坏”能⼒，实现战略威慑。 1.1、APT-C-40（NSA） APT-C-40（NSA）组织持续针对我国以及全球的⽹络攻击和渗透，其攻击技战术复杂，攻击武器储备丰富，技战术⽔平⼤幅领先于已知的⽹络攻击组织。在2025年，我国国家安全机关披露了该组织对国家授时中⼼实施的⽹络攻击活动。 APT-C-40（NSA）组织在此次攻击中使⽤了多达42款⽹络攻击武器，在2022年3⽉⾄2024年6⽉期间，攻击者利⽤境外⽹络资产作为主控端服务器持续实施了千余次攻击，严重破坏我国关键信息基础设施安全，对国家安全造成系统性、持续性危害。 在本次攻击活动中，攻击者在⼿机端成功获取办公计算机的登录凭证后，进⼀步通过⼿机端作为跳板取得了计算机端点的远程控制权限，并依次完成特种⽹络攻击武器的植⼊与升级。 随后，攻击者通过多款⽹络攻击武器协同作业，在⽬标内⽹构建起⼀个包含四层加密隧道的窃密攻击平台，具备⾼度隐蔽性与完整攻击功能，进⽽以此实施内⽹横向渗透，⾮法窃取关键数据信息。 整个过程中，攻击者在计算机终端上部署的攻击模块总计达42个。这些模块均采⽤内存加载、解密执⾏的⽅式运⾏，有效规避了常规安全软件的检测与查杀。 其中，前哨控守类武器（eHome_0cx）作为核⼼加载调度模块，由四个组件共同构成，负责协调并调⽤ 其他各类⽹络攻击武器，包括隧道搭建类武器（Back_Eleven）以及数据窃取类武器（New-Dsz-Implant），形成⼀个层次清晰、功能完备的攻击体系。 我们通过深⼊分析发现，相⽐“⻜⻢”等间谍软件针对苹果⼿机的窃密攻击，“三⻆测量”攻击活动针对苹果⼿机的攻击复杂度与隐蔽性更⾼。该类攻击通常采⽤多阶段、⾼集成的漏洞利⽤链，并植⼊极难检测的持久化后⻔，从⽽给防御与检测⼯作带来极⼤挑战。 1.2、APT-C-78 APT-C-78是360⾼级威胁研究院在2025年捕获并披露的北美地区APT组织。该组织表现活跃，针对我国国防军⼯、科研、信息技术、能源、汽⻋制造等⼏个领域重点⽬标策划了针对性攻击活动。 APT-C-78组织在2025年的攻击活动中对⽬标单位针对性的挖掘Web漏洞，并利⽤漏洞展开攻击活动。该组织在针对我国某国防军⼯背景相关单位的攻击活动中，针对受害企业⾃⾏开发的Web服务进⾏漏洞挖掘，继⽽利⽤漏洞展开攻击；在获得内⽹相关权限后，进⼀步利⽤某国产安全软件的服务端更新机制，分发专项后⻔程序，实现了对受害单位员⼯主机的批量控制。 图①：APT-C-40（NSA）组织攻击流程⽰意图














图②：APT-C-78组织攻击流程⽰意图 2、朝鲜半岛 2025年朝鲜半岛的⽹络攻击活动频繁，其活动具有⾼度组织性、隐蔽性和战略性。 朝鲜半岛的APT组织攻击⽬标⼴泛，涉及⾦融、能源、政府机构等基础设施，以及通过攻击外交、国防相关机构获取战略情报；APT-C-06（DarkHotel）、APT-C-60（伪猎者）等组织主要针对我国政府机构、驻外机构以及涉朝相关⽬标，擅⻓基于供应链攻击，尤其是利⽤⽬标环境特定应⽤0day漏洞进⾏突破；APT-C-26（Lazarus）、APT-C-55（Kimsuky）等组织除了对朝鲜半岛周围政府组织、涉朝机构等⽬标关注，更多攻击是针对虚拟加密货币的窃取活动，对全球⾦融与地缘安全构成持续冲击。 朝鲜半岛地区APT组织的⽹络攻击已成为“国家级融资⼯具”，战术从0day漏洞利⽤、多阶段攻击链等复杂⼿法延伸出“社会⼯程
+
内部渗透”，AI深度伪造与供应链攻击成为新趋势，对全球⾦融安全与地缘稳定构成重⼤威胁。 2.1、APT-C-06（DarkHotel） APT-C-06（DarkHotel）组织在2025年攻击活动有所增加，技战术迭代升级。该组织的攻击⾏业未有明显变化，对我国的攻击活动受地缘因素影响，集中在朝鲜半岛附近地区的对朝贸易相关单位。 2025年上半年，APT-C-06（DarkHotel）组织在攻击活动中，利⽤钓⻥邮件分发包含恶意安装包的附件。攻击者使⽤的诱饵⽂件为“봉사기용전자증명서(2025).zip”（服务⽤电⼦证书）。执⾏该⽂件将引发⼀系列恶意⾏为，最终导致恶意载荷在⽤⼾机器驻留。 载荷的执⾏流程如下图所⽰： 在我们捕获的另外⼀起攻击活动中，攻击者通过⽹盘⼯具、聊天⼯具和U盘等⽅式投递伪装成输⼊法以及伪装成压缩⼯具的恶意程序，受影响⽤⼾分布在朝鲜半岛周边地区。经360⾼级威胁研究院分析，这两种恶意程序均与APT-C-06（DarkHotel）组织在历史攻击活动中使⽤的攻击载荷⾼度相似。 在2025年下半年，APT-C-06（DarkHotel）在6⽉份使⽤恶意软件展开⼀波攻击后，我们⼜监测到另⼀波相似的攻击活动。在这次攻击活动中，更多类型的恶意软件出现。这些软件通过U盘接⼊，进⽽部署攻击载荷。此次攻击的受影响⽤⼾仍是我国和俄罗斯等周边地缘国家的涉朝相关⼈员。 2.2、APT-C-26（Lazarus） 2025年，APT-C-26（Lazarus）组织在全球范围内实