2025年主流病毒趋势分析报告

2025年主流病毒趋势分析报告序言：在高度对抗中重构防御边界01银狐木马的分析与预测02威胁态势综述：从金融黑产到混合型威胁的战略蜕变032025年银狐木马活动全景回顾04技术深度分析08检测与防御指南132026年及未来趋势预测15钓鱼攻击趋势与未来展望162025年统计数据深度透视172025年全球网络安全格局与重大钓鱼事件回顾19技术趋势分析：进化的攻击向量与防御规避222025年防御技术与策略的演进242026年及未来展望：代理AI与量子威胁26勒索软件威胁报告与预测28年度勒索软件攻击态势29重点行业勒索威胁分析34主要勒索软件家族与活跃组织的演变36勒索软件攻击重要事件梳理39攻击技术演进与战术升级41法律监管与执法行动的雷霆之势44未来趋势预测：迈向自主与智能的对抗44反勒索产品趋势46深信服AI赋能的网络安全防护解决方案48云威胁情报网关应用实践49钓鱼检测大模型应用实践50安全托管服务应用实践50总结：从主动防御迈向数字韧性51参考链接52回望过去一年，全球网络空间的安全格局正经历着从“技术攻防”向“生态对抗”的深刻演变。威胁环境呈现出前所未有网络钓鱼已告别了低劣的模板时代。随着生成式AI的深度介入，攻击者能够以极低成本伪造极具迷惑性的多语言、跨平精准锁定财税、政企人员，利用高度伪装的白签名程序与不断翻新的免杀技术，通过流水线方式生产针对性攻击。而勒索病毒则在双重、多重勒索模式的基础上，进一步转向“供应链渗透”与“无文件化”攻击，针对关键基础设施的勒索已不本报告旨在通过对上述三大威胁的深度剖析，揭示隐藏在像素级伪装、代码混淆与经济博弈背后的攻击链路，帮助企业与2025年主流病毒趋势分析报告02“银狐”最初进入安全视野时，被普遍定义为一个活跃于东亚地区、主要针对中国境内中小企业财务人员实施网络诈骗的情报分析显示，“银狐”组织开展的活动已不再是单纯的攻击实施，而是呈现出地下黑产供应链核心节点的特征。该组织同一套核心技术栈（TTPs）和基础设施。这种碎片化的组织结构极大地增加了归因溯源的难度，使得防御者难以区分一次 ·全球化视野下的攻击重心转移2025年被视为银狐木马全球化战略扩张的元年。虽然使用银狐木马的群体的核心目标仍集中在中国境内的组织及个人，2025年主流病毒趋势分析报告042025年是银狐木马活动极为频密的一年，其攻击波次呈现出明显的“热点跟随”与“节点定制”特征。攻击者不再满足攻击者注册了与其官方域名极度相似的恶意域名值得注意的是，攻击者在恶意样本中植入了大量的西里尔字符，并将部分函数命名模仿已知的俄罗斯黑客组织2025年下半年，银狐木马的攻击触角攻击者冒充印度所得税部门（IncomeTaxDepartment向目标发送包含“税务审查通知”或“退税申请表”的钓鱼邮件。邮件附件通过重定向链接指向此次攻击展示了“银狐”在多语言环境下的适应能力。攻击者利用了印度用户对政府税务机构的信任心理，结052025年主流病毒趋势分析报告05此次攻击主要瞄准IT开发人员、数据科学家及企业系统管理员。这类人群通常拥有企业核心系统的访问权限，2025年主流病毒趋势分析报告06受害者是否为中国境内的真实用户。这种筛选机制既提高了攻击的精准度，也降低了在全球威胁情报网络针对跨国企业及远程办公场景，通过伪造的“官方中利用文档处理软件的普及性，实现大规模的企业边界在这些攻击中，“银狐”不仅使用了传统的恶意安装包，还广泛采用了“双重安装”策略：受害者下载并运行安装包后，与广撒网式的邮件钓鱼不同，“银狐”攻击者通常通过前期渗透获取某个受害者的社交账号控制权，或者伪造与广撒网式的邮件钓鱼不同，“银狐”攻击者通常通过前期渗透获取某个受害者的社交账号控制权，或者伪造压缩包内含有实际为带有签名的名为“微软电脑管家”的exe、隐藏属性的.exe.confi结合文件关联和设备映射技术，在系统重启时触发恶意文件的重命名或移动操作，使得安全软件在系统重启前攻击者甚至会利用受控的微信账号与受害者进行多轮对话，建立信任后再发送恶意载荷，这种交互式攻击的成攻击者利用税务改革的时间窗口，精准投递伪装成税务插件或通知的恶意软件。在印度，攻击者冒充所得行恶意EXE，而是构建了复杂的侧载链条，利用带有有效数字2025年主流病毒趋势分析报告08 ·恶意代码机理剖析092025年主流病毒趋势分析报告092025年主流病毒趋势分析报告11112025年主流病毒趋势分析报告11调试端口和PPIDSpoofing银狐木马通过结合调试端口和PPIDSpoofing的方式完成提权操作。这种方法绕过了传统的权限检查机制，是一种隐蔽性2025年主流病毒趋势分析报告情报分析发现，“银狐”可能正在向“接入即服务”（AaaS）模式转型，即作为上游供应商，将其获取情报分析发现，“银狐”可能正在向“接入即服务”（AaaS）模式转型，即作为上游供应商，将其获取攻击者不直接连接受害者主机。C2通常是托管在为了对抗域名封锁，银狐木马大量利用合法的公共云服务来托管配置文件和恶意载荷。例如，利用阿为了对抗域名封锁，银狐木马大量利用合法的公共云服务来托管配置文件和恶意载荷。例如，利用阿攻击者偏好使用具有误导性的域名，常见模式包括13132025年主流病毒趋势分析报告13异常父子进程关系：严密监控异常父子进程关系：严密监控rundll32.exe、regsvr32.exe及powershell.exe的父进程。如果这些进程由白名单程序加载异常DLL：对于Thunder.exe等常用软件，如果其加载了未知的、无签名的或签名异常的域名关联：利用威胁情报对访问的域名进行实时关联。重点检测新注册域名、动态DNS域名以及被标记为恶2025年主流病毒趋势分析报告 ·综合防御策略SEO投毒防御：对员工进行专门的搜索引擎安全培训，教育其识别搜索结果中的广告推广链接，并核对域名的准15152025年主流病毒趋势分析报告15 Skills投毒2025年主流病毒趋势分析报告在深信服安全钓鱼检测大模型2025全年监测到的二百八十万钓鱼攻击事件中个季度明显高于后两个季度，在二月和八月份的到达波谷，四月份到达波峰，而从八月到十二月逐渐表现出上升趋势，这02025年主流病毒趋势分析报告√全网告警邮件数是类型分布2025年全年，加密货币领域的欺诈与盗窃损失预计超2025年全年，加密货币领域的欺诈与盗窃损失预计超根据hoxhunt报告显示，2025年，由钓鱼攻击导致的单次数据泄露平均成本攀升至444万美元，相比2024年的488万美元下降了约9%。这是过来首次下降，主要归功于企业采用了AI驱动的威胁检测与响应工具，缩短了发现漏洞的时间[14]。 .地域分布与行业受害画像19192025年主流病毒趋势分析报告19）：2025年的网络威胁景观呈现出极端的两极分化：一方面，基础的自动化防御拦截了数以亿计的低级攻击；另一方面，针对高价值目标的攻击成功率却在攀升，导致了前所未有的经济损失和供应链动荡。这一年，钓鱼攻击不再仅仅是黑客的单系统性风险事件：捷豹路虎（JLR）供应链瘫痪要紧急重置MFA（多因素认证）令牌。由于声音和术语的高度逼真，帮助台人员被成功欺骗，2025年主流病毒趋势分析报告20器[5]。212025年主流病毒趋势分析报告21服务器被攻破，而该供应商的初始入侵同样源于员工账号被钓鱼接管。此事件后的修复成本预计高达服务器被攻破，而该供应商的初始入侵同样源于员工账号被钓鱼接管。此事件后的修复成本预计高达泄露。攻击入口被确认为一封伪装成“紧急合规性审计通知”的钓鱼邮件，诱导一名具有高级权限的部分透析中心的预约系统也被迫下线，直接威胁患 2025年中期，网络安全研究机构Cybernews揭露了一个包含160亿条Raccoon）通常通过盗版软件下载、虚假游戏外挂或伪装成发票的钓鱼邮件传播。一旦感染用户设备，它们会自动打包浏凭证填充（凭证填充（CredentialStuffing）的燃料器内存中动态生成的页面，而非远程服务器。这意味着在流量层面85%[17]。2025年主流病毒趋势分析报告222025年的钓鱼攻击在技术层面展现出了极高的创新性。攻击者不再试图“骗过”人类的直觉，而是致力于“骗过”防御一旦扫描，受害者被引导至移动版钓鱼页面，移动设备较小的屏幕和隐藏的地址栏进一步降低了用户识别伪造一旦扫描，受害者被引导至移动版钓鱼页面，移动设备较小的屏幕和隐藏的地址栏进一步降低了用户识别伪造攻击者先发送一封声称“订阅已续费，扣款500美元”的邮件，并在邮件中留下一个客服电话号码。当受害攻击者购买搜索引擎的关键词广告，将伪造的官方页面置顶。用户在搜索常用办公软件时，往往习惯性点击第232025年主流病毒趋势分析报告232025年主流病毒趋势分析报告24这是一种利用社会工程学诱导用户自我破坏的手段。攻击者在网页上模拟一个虚假的“浏览器错误”弹窗，提示用户通过复制粘贴一段PowerShell代码或点击“修复”按钮来解决问题。实际上，这段代不再单一依赖文本分析，而是同时综合分析视觉特征不再单一依赖文本分析，而是同时综合分析视觉特征252025年主流病毒趋势分析报告25也会因为域名不匹配而拒绝发起认证握手。这从根本也会因为域名不匹配而拒绝发起认证握手。这从根本Passkeys基于公钥加密体系，将登录凭证与特定的域针对本地执行的BlobURI和恶意扩展，企业开始部署远程浏览器隔离技术。所有未分类或高风险的网页都在云端容器中加载，仅向用户传输安全的像素流。某些厂商推出了针对浏览器的专用安全工具，实时监测恶意扩展的安装和敏感数据的 事实证明，在钓鱼防范中，技术无法解决所有问题，在复杂的攻防博弈中，技术手段虽能过滤海量噪音，但人作为业务逻实战化模拟演练表现出显著的时间复利效应。初始阶段，未经训练的员工往往呈现较高的点击风险；通过持续的季度性诱捕演练与即时反馈，员工的辨识能力会经历从“盲目信任”到“审慎交互”的质变，SAT的终极指标并非点击，而是高报告。有效的培训能够建立标准化的威胁上报机制，使员工在发现可疑迹象时，从被动躲避转为主动预警。这种群体性的主动防御行为，能将威胁感知触角延伸至技术监控2025年主流病毒趋势分析报告26 ·监管政策的驱动保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进尽管通用量子计算机破解RSA算法尚需时日，但攻击者在2026年将加强“现在窃取，以后解密”（HarvestNow, ·行业防御建议2025年主流病毒趋势分析报告28292025年主流病毒趋势分析报告29因此不仅反映了攻击的成功率，也反映了攻击者利用“双重勒索”策略施压的意愿。Comparitech的数据则更为全面，明攻击者策略性地利用了西方节假日期间IT明攻击者策略性地利用了西方节假日期间IT运维一异常峰值可能与年初多个新出现的零日漏洞（如02025年主流病毒趋势分析报告3056%[44]。Confirmedandunconfirmedattacks.↑37%16%↑500↑1%↑37%16%↑500↑1%↑↑↑32%↑↑312025年主流病毒趋势分析报告312025年主流病毒趋势分析报告2025年主流病毒趋势分析报告32 ·勒索入口点分布恶意邮件视为攻击根源，另有18%则归因于网络钓鱼⃞后者占比较去年的11%出现显著跃升，恶意邮件也属于钓鱼的一332025年主流病毒趋势分析报告332025年主流病毒趋势分析报告 ·勒索攻击受害组织规模大小2025年主流病毒趋势分析报告34制造业高度依赖工业控制系统（ICS）和操作技术（OT这些系统往往老旧且难以修补。同时，现代制造业追求“是看中了这一点，攻击者对制造商的勒索毫不手软。根据Comparitech数据显示，制造业的平均赎金需求从2024年的 52.3万美元翻倍至2025年的近1英镑损失震惊了全球工业界[54]。 352025年主流病毒趋势分析报告352025年主流病毒趋势分析报告502025年主流病毒趋势分析报告36 DragonForce无疑是2025年最具破坏力和创新性的组织[52]。它的崛起标志着勒索软件运营模式从“勒索软件即服务” Qilin的核心优势在于其强大的跨平台能力。它使用Rust语言重构了恶意软件，不仅能高效加密Windows系统，更能深入 ·Akira：针对性打击的专家2025年主流病毒趋势分析报告38392025年主流病毒趋势分析报告392025年主流病毒趋势分析报告[56][56]2025年主流病毒趋势分析报告40[56][56][56][56][56]412025年主流病毒趋势分析报告412025年主流病毒趋势分析报告2025年，勒索软件攻击者的技术手段变得更加隐蔽、底层化和自动化。他们不再满足于应用层的破坏，而是致力于攻破制了ESXi宿主机，攻击者无需单独攻破每台虚拟机，只需在宿主机层面运行加密脚本，即可在几分钟内加密数百台虚拟vmci.sysdriver)vmci.sysdriver)2025年主流病毒趋势分析报告42过去，攻击者主要专注于挖掘软件漏洞；如今，他们更倾向于直接窃取或购买现成的身份凭证。VPN、远程桌面协议（RDP）及各类云服务账户等暴露在外的凭据，已成为最主要的初始入侵载体。这一趋势在勒索软件攻击中尤为明显：攻击者正日益绕过复杂的技术渗透，转而通过盗用的合法身份长驱直入。的访问凭证售价可达数万美元；而若该权限能够绕过多因素认证（MFA其价格更是水涨船高。与此同时，攻击链条的品”。这种供需关系的深度绑定，极大缩短了勒索软件攻击的准备周期，使得攻击启动更快、针对性更强。可以预见，在 mm攻击生态的全面进化：组织流动化、手段复当前的勒索软件威胁生态正经历一场深刻而全面的进化。攻击者为提高生存率与勒索成功率，正从组织形态、攻击手法到一方面，勒索软件团伙日益摆脱传统固定组织的形态，演变为可随时更换的“品牌”。一旦遭遇执法压力或内部动荡，核心成员便能迅速弃用旧有标识，混合利用既有基础设施，以全新面目重组。与此同时，由少数大型联合体主导的格局正在瓦解，取而代之的是大量结构松散、行动敏捷的小型团队。这些团队通过灵活的协作网络快速扩张，高效复用现成工具，发动自动化闪电攻击后便迅速隐匿。这种“流动品牌”与“小型游击团队”的结合，使得威胁格局从少数“巨型火灾”转甚至冒充内部人员或扬言向监管机构举报，以引发合规危机。这些手段共同构成了一个更高压、更复杂的谈判框架，其目这种“组织形态流动化以逃避追踪，攻击手段复合化以榨取收益”的双轨进化，标志着勒索软件攻击已进入更成熟、更难432025年主流病毒趋势分析报告432025年主流病毒趋势分析报告高投资回报率。成功加密一个宿主机，往往意味着其管理的整个虚拟机集群将瞬间瘫痪，导致业务中断立竿见影。而这种架构的恢复过程极为复杂，通常需要从备份中逐个重建虚拟机，致使恢复成本异常高昂、业务停摆时间漫长。因此，针对变种，更引发了攻击技术的快速迭代。例如，Pay2Key更新了其勒索软件版本以优化对Linux系统的攻击能力；而是通过打击虚拟化平台和广泛部署的Linux服务器，为突破日益普及的端点检测与响应（EDR）等高级防护，滥用已签名的合法但存在漏洞的驱动程序（BringYourOwn一旦此类驱动被加载，攻击者便能够从用户层程序向驱动发送指令，直接操纵内核。例如，通过传入目标进程的PID，即这项技术因其高效和隐蔽性，已被多个活跃勒索软件家族广泛应用于攻击链的早期阶段，以确保后续的横向移动和数据加在其攻击中使用了名为“eskle.sys”的易受2025年主流病毒趋势分析报告442025年是全球监管机构和执法部门协同作战、主动出击的一年。法律合规的压力和执法行动的干扰，正在重塑勒索软件2025年5月19日至22日，在欧洲刑警组织和欧洲司法组织的协调下，执法和司法部门联手再次发起"OperationEndgame"行动，摧毁了用于发起勒索软件攻击的恶意软件背后的关键基2025年9月，英国政府发布一项提案，概述了应对勒索软件的三管齐下战略：有针对性地禁止支付赎金⃞禁止所有公共部门机构和关键国家基础设施运营商支付勒索软件赎金，以降低攻击带来的预期收益。预付款通知制度⸺不受禁令约束的组织在支付赎金前必须通知英国当局，以便检查是否存在制裁或恐怖主义融资风险。强制事件报告⸺所有英国组织都必须在72小时内报告勒索软件事件（无论是否支付赎金并在28天内提交完整报告，以提高国民意识和执法部门的响威胁并未消退，而是在持续适应。随着攻击者精简操作、防御者提升能见度，成功防御越来越依赖于早期检测、凭证保护452025年主流病毒趋势分析报告452025年主流病毒趋势分析报告依赖大语言模型辅助其核心代码开发。一个明显的证据在于其代码特征与沟通方式之间的显著矛盾：该组织成员在日常交流中使用的是较为简单的英语，但其恶意软件脚本中却包含了大量语法完美、结构清晰的注释⃞这种差异与AI生成代码勒索软件在稳定性和复杂性上可能仍有局限，但其发展路径已十分清晰。未来，攻击者将能更高效地利用AI工具完成代码生成、漏洞挖掘和攻击流程自动化。这意味着防御方面临的威胁格局将发生根本性变化⸺对手不再是少数技术精湛的2025年主流病毒趋势分析报告46面对2026年高度智能化、自动化的勒索软件威胁，传统的 ·系统将率先对海量日志与告警进行自动化初步过滤、关联分析和优先级排序，快速筛选出真正需要关注的高风险事件。这在此基础上，安全分析师的角色将得以升华⃞从繁重的初级日志筛选中解放出来，转而专注于对AI提炼出的关键事件进行深度调查、上下文研判与最终响应决策。这种分工不仅大幅降低了日常运维的人力成本，更确保了机器效率与人类专业 等“非人实体”实施严格的零信任策略和最小权限在关键操作（如财务交易、权限变更）中融合多模态生物识别、行为分析与实时风险检测，确保屏幕 在后量子密码学（在后量子密码学（PQC）标准逐步落地的背景下，安全产品需支持“加密敏捷性”，帮助企业平滑完提供针对管理程序层的专项防护，防范未经授权的驱动加载（BYOVD同时对云上容器、微服务及 ·数据完整性保护与供应链韧性提升总结而言，2026年风险最高的组织将不是缺少安全工具的组织，而是那些对自身数字环境内部“谁在动、如何动”缺乏深度洞察的组织。下一代防勒索产品的核心价值，在于整合身份、终端、网络、数据及云基础设施的全局信号，提供统一2025年主流病毒趋势分析报告48492025年主流病毒趋势分析报告492025年主流病毒趋势分析报告果敢承诺。针对银狐、钓鱼钓鱼、勒索等，通过AI和云端百亿情报实时赋能，提升防护基线，有效防护新型威胁。针对下一代防火墙AF下一代防火墙AF流量探针STA 网关能够识别传统本地规则库无法覆盖的微小、新型威胁。在降低通报、上网安全防护、钓鱼URL防护、杀毒等场景，解决本地规则库有限、云端情报同步慢、首包漏过，病毒文件等未知威胁无法拦截的问题。通过依托全国30+的SASE2025年主流病毒趋势分析报告50近年来网络钓鱼攻击在实战攻防场景中的攻击比例逐步升高，根据美国CISA对攻击入口的统计显示，网络实现对邮件隐藏诱导意图、AI生成仿真实内容的精准识别，穿透各类话术与格式伪装；同时构建起事前风险预警、事中文本/链接/附件/二维码多维度检测、事后毫秒级阻断并联动终端防护的全链路防护体系，不仅能实现高检出率、低误报率的实战效果，还能有效应对加密附件、二维码钓鱼等传统手段难以处理的高对抗攻击场景；深信服钓鱼检测大模型，构建以服务为中心的安全服务中心。深信服安全托管服务以保障风险管控效果为目标，以“人机共智”模式为手段，以7*24h持续在线守护为主线，以【资产、威胁、事件】三个核心安全风险要素为抓手，面向用户全资安全风险管理、威胁监测管理、安全事件管理能力。覆盖日常7*24小时安全值守、勒索风险预防、重要时期保障、通报512025年主流病毒趋势分析报告512025年主流病毒趋势分析报告治理模式的生态化演进：面对勒索病毒的全球化协作与黑产链条的精细分工，单一企业的防御是脆弱的。未来的安全将依一公里”。2025年的钓鱼攻击态势证明，随着技术的进而是关乎企业生存、经济稳定乃至国家安全的战略命题。唯有通过技术创新、流程重造和全员安全文化的建立，我们方能2025年主流病毒趋势分析报告52[3]CyberMonitoringCentreStatementontheJaguarLandRoverCyberIncident‒October2025‒CMC,[5]【CyCraftMonthlyIntelligence】JaguarLandRoverCyberattack:ImpactandTechniqueAnalysis,https://www.cy-[6]BiggestCyberAttacksof2025&TheirImpactonGlobalCybersecurity,/cybersecuri-[7]CybersecurityAlert‒SalesloftDriftAISupplyChainAttack|FINRA.org,https://www.fi/rules-guidance/guid-[8]UnpackingtheSalesloftIncident:InsightsfromDarktraceObservations,/blog/unpack-[10]HealthcareDataBreachesinAugust2025:AWake-UpCallfortheIndustry,https://complia[13]16BillionLoginCredentialsExposedinMassiveDataBreach-ChannelInsider,https://www.channelinsid-[16]Frontlinesecuritypredictions2026:Thephishingtechniquestopreparefor-BarracudaBlog,h[18]2025PhishingReport|ThreatLabz-Zscaler,/blogs/security-research/beyond-in-532025年主流病毒趋势分析报告532025年主流病毒趋势分析报告[20]ThreatSpotlight:Amillionphishing-as-a-serviceattacksintwo...,/2025/03/19/-[21]Phishing-as-a-Servicedrivessurgeincybercrimefor20[22]Phishing-as-a-servicekitsdrivesurgein2025scams,.au/story/phishing-as-a-ser-[23]PhishingActivityTrendsReport,1stQuarter2025-APWG,/reports/apwg_trends_re-[25]2025PhishingByIndustryBenchmarkReport-KnowBe4,/resources/reports/phish-[26]DeepfakeAttacks&AI-GeneratedPhis