2026年APT组织研究年鉴

APT RESEARCH ANNUAL REPORT ★NSEOCS绿录科技 2026 绿盟科技安全研究年报THEFEWTHEPROFESSIONAL 与时俱进”校训精神，以名誉院长方滨兴院士提出的三个驱动（学术驱动、指南驱动、市场驱动）流网络空间安全人才为已任，以取得国家急师资队伍和一流平台条件 江学者特聘教授2名，重庆市科技创新领才1名，广东省自然科学基金杰出青年基金项目2名，广州市杰出专家1名，优秀专家3名，优秀专家后备7名，广州市领军人才1名，才源广进计划青年拔尖人才1名 学院拥有级学科博士学位授予权和硕士学位授予权，入选广东省优势重点学科、广东省高水平大学“冲补强”重点建设学科，2022年软科中国排名全国第八。在校博士生83名，硕士研究生595名，本科生390名，方滨兴院士实验室班依托学院开设研究生班，并面向本科生开设预备班，本硕一体，培养实践创新型人才。 NSFOCUS 绿盟科技集团股份有限公司（简称“绿盟科技”），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有90余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 专注于研究网络空间战略、技术和管理框架的知识表述和知识学习。结合AI人工智能、靶场和数字李生来实现平行化智能，实现网络空间可视化指挥治理。 版权声明： 为避免合作伙伴及客户数据泄露，所有数据在进行前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。 目录 02全球APT威胁态势综述3 2.1全球高级可持续性威胁形势概览42.2全球活跃APT组织概览42.3攻击目标行业分析52.4核心趋势研判6 03APT归因追踪态势分析7 3.12025年APT归因追踪态势综述83.2APT组织活跃统计83.3活跃排名总览93.4组织主控主机区域分析103.5活跃度分析113.6受害目标分析123.7攻击手段分析15 04 APT组织情报分析16 4.1APT组织情报数量统计174.2APT组织活跃时间分析184.3漏洞利用分析214.4Ai驱动的攻击手段演进23 052025年新增APT组织情报图鉴28 5.1UNG0002295.2CrazyEvil305.3UNC4990315.4FrostyNeighbor325.5Static Tundra335.6UAC-0173345.7黑猫355.8CL-CRI-1014365.9DarkGaboon375.10 HeptaX385.11 Emennet Pasargad395.12 RansomHub40 5.13 BladedFeline415.14 PassiveNeuron425.15 SafePay435.16 UNC961445.17 mre1903455.18 Water Gamayun465.19 Bloody Wolf475.20 TAG-150485.21 TA829495.22 UNC5174505.23 GOLD BLADE515.24 Silent Lynx525.25 UAC-0006535.26 Water Makara545.27 UNC4221555.28 Ta2726565.29 Storm-0408575.30 Mysterious Elephant585.31 Storm-186559 5.32 UAT-5918605.33 Swan Vector615.34夜鹰625.35 Famous Chollima635.36 Stargazers Ghost Network645.37 amdc6766655.38 Funnull665.39 RedDirection675.40 UTG-Q-1000685.41 Medusa695.42 APT-C-6070 06未来趋势展望 71 6.1AI从“辅助”走向“操盘”，攻击全面智能化726.2零日漏洞武器化加速，攻击窗口持续收窄726.3供应链攻击持续深化，开源生态成核心地带736.4地缘政治驱动APT升级，关键基础设施成主战场736.5云安全与身份攻击成为新高地74 卷首语 回首2025年，全球局势风云变幻，地缘冲突的硝烟与科技变革的浪潮在数字时代交汇激荡。这一年，前沿技术尤其是人工智能迎来选代跃升，不仅重塑了战争形态，更使得网络空间的挑战呈现出前所未有的严峻态势。在人工智能的加持下，网络攻击行为已突破传统边界，呈现出组织严密、手段智能、破坏力倍增的新特征。其中，高级持续性威胁(APT)攻击在智能算法的赋能下愈发隐蔽且致命，其活动轨迹与地缘政治风险如影随形，已然成为影响国家主权、安全与发展的突出风险源，深刻威胁着现实世界的和平与稳定。 正如古语所云，“知已知彼，方能百战不始”。在网络空间这个瞬息方变、错综复杂的现代战场上，深入理解并准确预判各种潜在威胁，是确保网络安全、赢得战略优势的关键所在。习近平总书记深刻洞察时代变局，指出“当前人工智能、大数据等新技术新应用不断涌现，给网络生态治理带来挑战”，要求我们“筑牢网络安全和数据安全防线”。面对APT攻击等隐蔽性强、破坏性大的网络安全威胁，归因不仅是启动国家层级响应的首要步骤，更是整个防御链条中极具挑战性的一环。它不仅关乎对手身份的识别，更需要在网络疆域内明确“敌我”界限，彻底解决“谁进来了”的根本问题，从而牢牢掌握网络空间安全与发展的战略主动权。 近年来，APT组织活动呈现出高度智能化、高度隐匿性与高度对抗性的演进方向。传统的精细化防御策略在人工智能快速发展的大数据环境下面临严峻考验，成效渐微，“未知对抗狩猎，已知情报追踪”成为应对APT组织的新模式。前沿技术的发展，在带来挑战的同时，亦为我们进一步挖掘和认识网络空间风险提供了机遇。绿盟科技平行实验室与广州大学网络空间安全学院通力合作，以“主动防御、攻击溯源、战略威”为理念，打造了基于知识图谱的网络空间威胁建模平台CSKG4APT。同时，借助广州大学自主研发的四蜜系统，显著提升了APT攻击的早期发现能力。依托于这些系统的分析结果，双方联合撰写了本年鉴。年鉴回顾和分析了全球APT组织年度活跃情况，不仅对全球APT组织的年度归因追踪情况及情报进行梳理，还特别罗列了2025年新增的42个APT组织的画像图鉴，为网络安全分析师、研究人员以及政策制定者提供了丰富的一手资料。这些新增APT组织的出现，反映了网络威胁景观的快速变化，以及攻击者不断寻求新方法绕过现有防御体系的趋势。年鉴作为认知及跟踪全球APT组织动态之利器，为应对复杂多变的网络威胁提供了参考，对促进关键信息基础设施防护效能跃升、加固数字疆域、护航国家安全具有重要意义。 广州大学副校长、教授、博士生导师 前言 随着高级持续性威胁（APT）组织日益智能化，归因难度逐步加大。这不仅对对抗和防御机制提出了新的挑战，也对关键信息基础设施单位和国家安全构成了重大威胁。为了应对这一严峻形势，绿盟科域的人才培养和研究工作。 在APT归因追踪方面，双方充分发挥各自优势，开展了一系列联合研究。广州大学依托其学术优势，研究多种创新算法，而绿盟科技则动员了旗下的3个实验室和2个战队，分别参与工程、运营和数据处理。伏影实验室专注于样本分析和主动狩猎，平行实验室致力于建立APT组织的归因知识图谱及对海量多模态数据的APT追踪，威胁情报实验室负责网络空间测绘和情报采集。此外，梅花k和模因战队从实战和对抗方法方面提供了有力支持，形成了从学术理论到工程实现，再到安全运营的产学研用闭环。 《APT组织研究年鉴（2026版）》基于知识图谱和情报智能方法，构建了包含662个APT组织情报档案馆的数据库。年鉴对2025年新增的42个APT组织进行了详尽的画像图鉴分析,并对这些新APT组织及已有APT组织的新战术战法进行了深入解析。对于更多APT组织的信息，读者可以访问绿盟威胁情报中心（NTI）https://nti.nsfocus.com/查询相关档案。 希望通过这本年鉴为读者呈现最新的APT组织研究成果，可以助力网络安全防御工作的不断提升。本文的成果都是基于“主动狩猎、情报归因、一点发现全网溯源”的原则。在未来，我们期望从未知到已知，从已知到全面监控，从全面监控到全面处置，将APT威胁扼杀在早期阶段。通过提升敌人的攻击成本，威敌人，提高网络弹性和快速响应能力，为网络空间的博奔贡献我们的力量。 全球APT威胁态势综述 2.1全球高级可持续性威胁形势概览 2025年，全球地缘政治冲突加剧，APT攻击日益成为国家间博奔的战略工具，其活动态势已成为网络空间乃至全球政治气候的“晴雨表”。俄乌冲突持续、中东局势升温、中美博奔加剧、朝鲜半岛紧张等多重地缘因素，共同推动了APT组织在2025 年的高度活跃。 据全球网络安全厂商和机构统计，2025年全球累计发布APT报告700多篇，涉及APT组织119个，其中首次披露的42个。从攻击目标看，APT活动高度集中于政府机构、国防军工、信息技术、金融、教育等十几个重点行业领域。从我国视角看，我国历来是APT组织攻击的重点区域，攻击主要来自南亚、东南亚、东亚及北美地区，覆盖政府机构、教育、科研、国防军工、制造等15个重点行业领域，其中政府、教育、科研领域占比超七成。 2.2全球活跃APT组织概览 综合2025年公开情报，以下APT组织在全球范围内最为活跃 从表中可以看出，朝鲜背景的Kimsuky 和 Lazarus、俄罗斯背景的 APT28 和 Sandworm、南亚背景的 SideWinder、东南亚背景的 APT-C-00 等组织在 2025 年保持了高度活跃。这些组织的攻击活动覆盖政府、国防、金融、能源、科技等多个关键领域。 2.3攻击目标行业分析 在2025年，全球网络安全机构披露的APT网络攻击活动中，政府机构、国防军工、信息技术、金融、制造业是最受关注的5个行业。这些行业之所以成为APT组织重点攻击目标，是因为它们在国家战略、经济价值和技术创新中占据核心位置。政府机构和国防军工领域往往包含政策、军事情报和国家安全关键数据，APT组织通过渗透这些系统实现战略性情报收集。信息技术和金融行业则提供技术研发、关键系统和资金流信息，攻击者可以通过窃取或破坏获取长期利益。制造业尤其是高端制造和工业控制系统成为攻击重点，APT组织可通过供应链或远程渗透获取技术秘密或破坏关键设施。2025年的典型案例包括：俄罗斯关联APT对波兰电网及德国空管系统的攻击，以及首次被披露的 GTG-1002（ClaudeCode）AI驱动APT间谍活动一一该组织利用AI代码助手自主完成侦察、入侵与数据窃取全流程，显示APT组织在全球范围内不仅追求信息窃取，也越来越关注对关键基础设施的控制和破坏能力 2.4核心趋势研判 综合来看，2025年全球APT攻击呈现出以下核心趋势 AI技术深度赋能攻击：AI被广泛应用于钓鱼邮件生成、深度伪造、恶意代码编写等环节，显著提升攻击效率和隐蔽性。零日漏洞利用持续高发：全年共发现90个在野零日漏洞，企业技术产品首次成为主要攻击面。供应链攻击成为重要跳板：开源代码仓库投毒、国产软件漏洞利用等供应链攻击手段被APT组织广泛采用。身份攻击成为主流突破口：合法账户滥用占云事件的35%，攻击者越来越依赖凭证窃取和身份伪造。 上述趋势表明，2025年APT攻击正从自动化批量攻击”向“智能化精准制导”加速演进，防守方需在AI安全、供应链安全、身份管理等方面同步强化防御能力。 03 APT归因追踪态势分析 3.12025年APT归因追踪态势综述 绿盟科技平行实验室分别从海量多模态数据云端APT实时