绿盟科技2026 APT高级威胁研究报告

T”«TChinaunicornP-›üłïłs«asPx«łTHEFEWTHEPROFESSIONALAPT高级威胁研究报告3APT高级威胁研究报告3APT高级威胁研究报告4APT高级威胁研究报告4APT高级威胁研究报告一APT高级威胁研究报告一. 执行摘要1 APT高级威胁研究报告2025APT2025（APT）攻击活动数量呈现上升态势，绿盟科技伏影实验室本年度捕获的APT攻击活动数量达到308次较去年增长4在攻击目标方面针对国防军事领域的APT攻击占比大幅提升至17较2024年增长了9个百分点这一变化与近年来日益严峻的地缘政治局势密切相关。本年度，APTAI7211AIAPTAIAPTAIClickFixAPTAPTClickFixAPTAPTAPTCnCVisualStudioAPTVisualStudioEvilSlnAppDomainManagerVisualStudioAPTInternet（.url）APT.urlChromiumAPTForumTrollAPTAPTAPTAPT高级威胁研究报告二APT高级威胁研究报告二. 年度APT技战术趋势3APT高级威胁研究报告APT高级威胁研究报告AIAI控制：APTAI工具融入整个攻击过程概述2025APT（LLM）的探索与应用已经迈入一个新阶段，其应用范围显著APTAI72APT11AITransparentTribeKimsukyLazarusLazarusBlueNoroffBeaverTailAPT28MuddyWaterCharmingKittenTortoiseShell、以及未确认区域归属的链锯鲨（ChainedShark）、ShadowRayAI伏影实验室发现，当下APT组织在滥用LLM方面形成了两条主要技术路线：LLM恶意定制模型：使用不受限制的恶意LLM模型，这些模型专为生成恶意内容而设计，例如WormGPT、Hexstrike-AIKawaiiGPT图2.1一个声称可以销售WormGPT的网站页面典型事件AI1-day漏洞2025APTLLMLLMAPT已有暗网中的未知攻击者利用Hexstrike-AI等恶意LLM来辅助进行网络侦察，尝试使用Hexstrike-AICitrix1-dayAPT资源开发：使用AI构建网络设施和攻击武器APTLLM2025APTLLMLLM APT高级威胁研究报告2025ShadowRayAIAI202511TransparentTribeAIAI图2.2TransparentTribe组织使用AI工具创建的代理服务器初始访问：使用AI生成高欺骗性的社会工程学诱饵APTAPT2025LLMLLM本年度，KimsukyAILazarusContagiousInterviewAI图2.3Kimsuky组织使用AI制作的韩国军人图片AIAPT20242025APT图2.4链锯鲨组织疑似利用AI润色的高水平钓鱼诱饵APT高级威胁研究报告APT高级威胁研究报告本年度发展壮大的社会工程学战术ClickFixAI相结合的势头，逐渐发展成为AIClickFixAPTAI数据收集：使用AI处理海量数据在过去，APT2025APTLLMAPTAPT命令控制：使用AI构建隐式命令载体APTLLMLLMAI（如图片）中，实现了命令控制阶段的数据混淆和隐蔽传输。KoskeKoskeAI社会工程学战术从出现到泛滥概述ClickFixClickFix20232024LazarusAPTLazarusClickFixClickFix随着Lazarus2025ClickFixMuddyWaterAPT28KimsukyAPTClickFixClickFixreCAPTCHAClickFixAPT典型事件：LazarusClickFix战术攻击加密货币行业专业人员APTLazarus20252Interview”①。Lazarus①https://blog.sekoia.io/clickfake-interview-campaign-by-lazarus/图2.5Lazarus组织的ClickFix战术攻击流程LazarusClickFixLazarusWindowsvbsGolangGhostmacOS系统中运行bash脚本下载名为FrostyFerret的窃密木马以及macOS版本的GolangGhostGolangGhostshellChrome浏览器信息的功能。LazarusAPTLazarus方面也具备领先水平。Lazarus度。LazarusLazarusAPT组织实施经济犯罪的利器概述2025LazarusBybit15多重签名劫持技术本质上是一种供应链污染和存储槽冲突问题（StorageSlotCollision）的组合，APT攻击者首先通过网络钓鱼等手段入侵对加密货币钱包应用（Safe{Wallet}）的开发人员的设备，进而获得该钱包应用的线上代码的操作权。攻击者直接修改了钱包应用线上服务器中与交易有关的JavaScriptAAA图2.6加密货币领域中的常规多重签名操作AASlot0B。图2.7攻击者使用多重签名劫持技术劫持签名操作经上述的一系列修改后，受害者通过多重签名批准的一个特定的转账操作被攻击者劫持，变为将资BB典型事件：LazarusBybit的网络攻击行动2025222Bybit400,000ETHstETHBybitETHMultisigBybitETH冷钱包。①/article/incident-update---eth-cold-wallet-incident-blt292c0454d26e9140/图2.8Bybit官网公告Bybit攻击事件中出现的转移地址与既往的Phemex攻击事件中出现的地址重合，因此这两起事件很可能是同一个攻击组织所为①。PhemexAPTLazarus。Bybit工作人员在从冷钱包转移加密货币到热钱包的过程中使用了一个名为Safe{Wallet}的智能合约钱包软件，但该软件在219日通过软件官方链接app.safe.global下载了一个恶意JavaScript_app-52c9031bfa03da47.jsBybit①/zachxbt/status/1893211577836302365图2.9调查过程中发现的恶意代码2月26Safe{Wallet}软件的Safe.eth公司发表文章称Lazarus入侵了一台Safe{Wallet}开发人员的设备，获得了对该公司网络资源的操作权限，进而实施了伪造的交易操作。LazarusBybit15本次事件本质是一起供应链攻击事件，Lazarus的电脑，进而获得了访问该钱包软件上游网络服务器的权限。Lazarus密货币钱包软件的保护，Lazarus221Lazarus近年来，Lazarus3CXBybitLazarusBybitLazarus①/safe/status/1894768522720350673最有礼貌的陌生人：APT组织使用敲门模式实现隐匿通信2.4.1 概述2025CnCCnC伏影实验室目前观测到了两种“敲门”模式实现方式。第一种实现方式通过用户态木马构建，木马程序在激活“敲门”模式后通过原始套接字（RAWSOCKET）DNSICMPCnCCnCNetfilterTCP/IPICMPUDPCnCAPTCnCCnC特权的代价是什么：VisualStudio软件管理问题引出多种APT攻击技术概述2025APTIDEVisualStudioEvilSlndevenvAppDomainManagerVisualStudioVisualStudioVisualStudio.config2025VisualStudioAppDomainManagerVisualStudio.suoEvilSlnVisualStudioCodeEvilSlnAPTLazarus20212024EvilSlnVisualStudio.suo（解决方案用户选项）文件的过程。当受害者打VisualStudioslnVisualStudio.suoStudio.suoBinaryFormatterVisualStudio.suoVisualStudioAppDomainManager2020.NET2025VisualStudioAppDomainManagerDLL.NET或者修改.NET.config.NetAppDomainManager其中的攻击代码。APTVisualStudio.NETdevenv.exe，合法devenv.exedevenv.exe.configWindowsDefenderAppDomainManagerdevenv.exedevenv.exe.configDLLDLL目前为止，微软依然坚持对VisualStudioVisualStudio2022Preview3VisualStudioMOTWEvilSln。然而，实际测试表明这一策略在很多情况下没有生效VisualStudio的开发者至今仍然处于受EvilSln攻击的风险中。①/visualstudio/improving-developer-security-with-visual-studio-2022/②/mitjakolsek/EvilSln典型事件：APTGitHub投毒，攻击中国安全研究人员2024APTGithub海莲花攻击者在这次行动中创建了一个Github项目https[:]//github[.]com/0xjiefeng/CVE-2024-35250-BOF，吸引对该漏洞有兴趣的安全研究人员。EvilSlnGithubVisualStudioVisualStudio2024NotionNotionGithub水坑攻击事件正是海莲花组织2024年技战术的体现，也可以视作是海莲花组织对Lazarus2021（Github）、主要攻击技术（EvilSln）、攻击目标（网络安全人员）上都完全一致，可以将其作为一种固定攻击模式加以关注。然而，2024GithubGithubforkCVE-2024-35250图2.10收录了该恶意项目的漏洞知识库APTOpenAI接口的网络攻击行动20257新型后门程序被命名为“SesameOp”。攻击者在本次攻击行动中使用了一种特别的AppDomainManagerOpenAISesameOpOpenAIAssistantsAPICnCAI基础设施进行通信的方式在以往攻击中极为罕见。本报告会重点分析该后门利用.NETAppDomainManagerOpenAIAPI在本次攻击事件中，攻击者表现出了极高的技术成熟度，其主要目的是维持在受害者环境中的持久MicrosoftVisualStudio恶意代码在系统中的隐蔽运行。一旦受害者主机被感染，后门程序就会通过加密通道与OpenAIAPI（Assistant）SesameOp在本次事件中的攻击流程如下图所示：图2.11SesameOp行动主要攻击流程VisualStudiodevenv.exe.configdevenv.exe.configAppDomainManagerVisualStudiodevenv.exeNetapi64.dllNetapi64.dll这个解密出的可执行文件就是本次攻击行动中的最终载荷SesameOpOpenAIAPIOpenAIWebShellSesameOp概述伏影实验室观测发现，Internet快捷方式（.url）文件相关的零日漏洞在近几年呈现爆发趋势，越来越多的APT组织开始关注Internet快捷方式文件的相关漏洞情况以及在网络钓鱼中的使用潜力。Internet快捷方式文件是一种历史悠久的Windows文件机制，最早随着IE浏览器一同出现在Windows95（.lnk）的快捷访问入口，InternetInternetInternet快捷方式文件的设计问题导致其安全机制非常孱弱。一方面，WindowspdfdocWindowsMicrosoftDefenderSmartScreenAPTWindowsInternetInternetWindowsDefenderSmartScreenCVE-2023-36025CVE-2024-21412，它们通过构造特定格式的远程网址，InternetSmartScreen直接获取远程网址中的文件并在本地运行，危害极大。CVE-2023-36025PhemedroneStealerCVE-2024-21412APT（DarkCasino）。InternetWindowsMSHTMLCVE-2024-38112x-uscmhtmlIE处理该远程地址，进而导致IEMSHTML组件在处理该地址时直接下载运行了其中的攻击载荷。CVE-2024-38112APTVoidBanshee。CVE-2024-43451WindowsInternet.url（交互方式包括右键单击、删除、拖动），都会触发与.urlSMBSMBNTLMv2到，APT（BlindEagle）20241120252CVE-2024-434512025CVE-2025-33053InternetWebDAVInternetEXEWebDAVCVE-2025-330533.x8.8APTStealthFalcon。InternetAPTInternet快捷方式文件中的零日漏洞或恶意利用方式，使其成为一种高效的网络钓鱼介质。防御方需要重点关注Internet典型事件：APTCVE-2024-43451变种漏洞攻击哥伦比亚政府和法院20241120252APT（BlindEagle）CVE-2024-43451变种漏洞的网络快捷方式①。CVE-2024-43451APTUAC-0194CVE-2024-43451CVE-2024-43451用文件中路径中加入特定端口号（例如@80），使受害者在与.urlSMBWebDAV图2.12盲眼鹰使用的CVE-2024-43451变种文件需要注意的是，上述针对该漏洞文件的交互操作（包括右键单击、删除、拖动）仅能触发受害者主WebDAV4025_3980.exeGoogleDrive、Dropbox、BitbucketGitHubPureCrypter、HeartCrypt、RemcosRAT①/2025/blind-eagle-and-justice-for-all/典型事件：StealthFalcon针对土耳其国防企业的零日漏洞攻击行动APTStealthFalcon20253StealthFalcon本次攻击行动的流程如下图所示：图2.13StealthFalcon本次攻击活动的主要流程StealthFalconurl该url文件带有零日漏洞CVE-2025-33053Windows合法组件iediagcmd.exe并配置WebDAVroute.exeroute.exeStealthFalconHorusPDFWindowsmsedge.exemsedge.exemsedge.exeHorusStealthFalconMythic①CnCCnCshellcode，实现信息收集和远程控制等扩展功能。Chromium沙箱逃逸零日漏洞成为PT组织利用重点概述2025CVE-2025-278340Chrome②。这一漏洞Chromium内核中，能够搭配同一时期出现的多种V81click网络攻击。名为ForumTrollAPTCVE-2025-2783APTdayChromium（Multi-processArchitecture），ipczmojoCVE-2025-2783ChromiumCVE-2025-2783①/its-a-feature/Mythic②/browser-market-share图2.14CVE-2025-2783的核心漏洞利用操作CVE-2025-2783（-1）（-2），让这个违规的伪句柄进入自身的进程空间，此时这个伪句柄指向浏览器进程中的当前线程句柄。ChromiumWindowsAPIDuplicateHandleDuplicateHandleCVE-2025-2783V8-Mojo1click2025CVE-2025-2783APT能够搭配该漏洞使用的新型ChromiumV8引擎零日漏洞，例如类型混淆漏洞CVE-2025-6554CVE-2025-5419俑者ForumTroll以外，实施这些零日攻击的多为无法确认身份的新型攻击者。ChromiumCVE-2025-2783Chromium的句柄处理逻辑，尝试使用各种方法欺骗浏览器进程来获取句柄，并成功挖掘了新的mojoCVE-2025-6558Chromium典型事件：OperationForumTrollAPTForumTroll20253ForumTroll”。ForumTroll组织在其中使用了高复杂度且新颖的攻击思路和零日攻击武器，主要目的是为攻击安保等级较高的政府官员或领域专家，窃取这些人员设备中的高价值情报。ForumTrollChrome202510月才被部分公开。本报告会重点分析该漏洞的原理。在其中一次攻击事件中，ForumTrollPrimakovReadingsGoogleChromeChromiumForumTroll组织的典型攻击流程包含如下的步骤：ForumTrollPrimakovReadings受害者点击链接后会被重定向到一个恶意网站。该网站首先会执行一个恶意脚本程序Validator，通过WebGPUAPISHA-256ChromeRCECVE-2025-2783Chrome护并在受害者主机中植入木马程序；RCEChromev8v8CVE-2025-2783shellcode；CVE-2025-2783shellcodeChromeChromeCOM该加载器木马随后下载并部署了ForumTroll组织使用的复杂后门恶意软件LeetAgent。LeetAgentC2进一步研究发现，ForumTroll组织在攻击中使用的工具集、文件系统路径和持久化机制等技战术（TTPs）MementoLabs（HackingTeam）DanteOperationForumTrollDanteAPT高级威胁研究报告三APT高级威胁研究报告三. 年度APT威胁态势27概览2025（APT）攻击活动数量呈现上升态势，绿盟科技伏影实验室本年度捕获的APT攻击活动数量达到308次，较去年增长4。在攻击目标方面针对国防军事领域的APT攻击占比大幅提升至17较2024年增长了9个百分点，20252025APTAPT202440提升到2025年的47。APTLazarusAPTSideWinder50以上的攻击任务东南亚地区的海莲花组织更是几乎包揽了该区域的APT攻击活动次数在经济下行APT2025APT活动情况统计202572APT30833起APT活动由伏影实验室通过报告或博客首次披露这些APT活动有96来自61个已知APT组织有4来自11个新兴组织。图3.12025年APT组织事件数量占比统计APT南亚区域的APT攻击数量也呈明显增加趋数量从2024年的39上升到2025年的47。图3.22025年APT攻击事件区域分布APTAPT37，针对非政府组织和个人的攻击也有小幅增加，值得关注的是针对国防军事的攻击对比去年有较大上升增幅超100成为本年度攻击者第三大目标该趋势与今年不断升级的国际军事形势相吻合。图3.32025年APT攻击事件目标行业统计APT区域态势东亚总览APT2025APTKimsuky，Konni，LazarusAPT朝鲜APT组织Kimsuky攻击次数占东亚APT攻击总次数的42，本年度Kimsuky在2025年持续以韩国政府、国防、学术及媒体机构为核心目标，其攻击活动呈现出钓鱼精准度提升、恶意工具链迭代、攻击场景更隐蔽的特点。图3.4东亚APT组织数据LazarusLazarus2025LazarusClickFakeInterviewNPMLazarusLazarusAndariel、经济驱动的BluenoroffBeagleBoyzBeaverTailBeaverTailLazarusLazarusBeaverTail2025BeaverTailNPM（NodePackageManager）230LazarusClickFakeInterview2.22.3东南亚APT2025APTAPT图3.5东南亚APT组织数据链锯鲨20242025Actor2408206APT（ChainedShark）。链锯鲨是一个以地缘政治为驱动的新型APT组织，主要攻击目标为我国科研、外交、海洋方向的专业人员和学者，主要攻击目的为窃取我国在这些领域的高价值情报。链锯鲨是一个有很高技战术水平和对抗意识的APT2024Nday漏洞在内的各种新型攻击技术，能构建极高复杂度和对抗性的特种木马程序。该组织社工能力强，熟悉中文，能够根据目标人群构建有针对性的中文社工诱饵。链锯鲨的名称来源于该组织一系列互相关联的攻击活动、覆盖海洋领域科研人员的攻击目标范围、以及一种以链表为核心的特种攻击载荷。图3.6链锯鲨组织印象图LinkedShellCVE-2024-43572MSC APT高级威胁研究报告图3.7链锯鲨组织以特种木马LinkedShell为核心的文档诱饵钓鱼攻击流程图3.8链锯鲨组织以CVE-2024-43572漏洞利用为核心的MSC文件诱饵钓鱼攻击流程链锯鲨组织开发的特种木马LinkedShell是一种使用GCC编译后转译为shellcode形式的C++程序。链锯鲨组织为了在内存中无文件运行这个木马程序，使用一种特殊的编译后处理逻辑重构了整个C++程序，这种操作极大地增加了对该木马的检测难度和分析难度。图3.9链锯鲨组织生成shellcode形式LinkedShell木马的逻辑LinkedShellPEshellcodeshellcodeshellcodeshellcodeshellcode链锯鲨组织这种可执行文件重构方法，有效地保护了可执行文件的核心代码，同时规避了常规的shellcodeLinkedShellVirusTotal南亚总览APTAPTSidewinderAPT36Patchwork图3.10APT组织数据TransparentTribeTransparentTribeProjectM、APT36APT2025APTAPTTransparentTribe.desktop击载荷。TransparentTribeBossLinuxLinuxTransparentTribePDF.desktopcrontab图3.11TransparentTribe攻击者使用的desktop文件BossLinux国专有软件（MicrosoftWindows）的依赖，并作为印度公共部门、教育机构和国防系统的首选替代方案。图3.12BossLinux官网宣传内容东欧总览APT2025Gamaredon、APT28、TurlaAPTAPTAPTAPTAPT施网络破坏任务。图3.13东欧APT组织数据APT28APT28APTAPT28LAMEHUG。LAMEHUG会自动采集主机硬件、进程、网络、账户等系统信息，定向窃取文档、下载、桌面目录下的办公及文档类文件。本年度，APT28API(vibecontrol)的功能。APT28APIWindowsAPT28中东总览2025APTMuddyWaterAPT图3.14中东APT组织数据艾登狐APT（IdenFox，Actor240524）保持活跃，20255202562024APT20242025艾登狐组织活跃在中东地区和东欧地区，已知攻击目标包括阿塞