2025全球高级持续性威胁（APT）研究报告_90页_10mb

> **来源：[研报客](https://pc.yanbaoke.cn)** # ADVANCED PERSISTENT THREAT 2025 # 全球高级持续性威胁(APT) 研究报告 Global APT Annual Report Global APT Annual Report # 2025 # 全球高级 # 持续性威胁 # 研究报告 2025 GLOBAL ADVANCED PERSISTENT THREAT Research Report # 2025 # 全球高级 # 持续性威胁 # 研究报告 2025 GLOBAL ADVANCED PERSISTENT THREAT Research Report # CONTENTS /目录 # PART 1 004 概述 005 2025年度全球高级可持续性威胁形势概览 006 2025年度活跃APT组织统计 # P 010 地区 011 北美 015 朝鲜半岛 029 中国台湾省 036 东南亚 042 南亚 055 东欧 062 中东 064 南美 # P 066 PART 3 # 2025年APT攻击发展趋势分析 067 攻击活动使用的ATT&CK技战术TOP20 069 APT攻击活动Oday漏洞统计 070 利用开源代码仓库方式进行供应链攻击 071 AI技术已被攻击者应用在深度伪造和诱饵制作等场景 072 破坏背后的逻辑,网络攻击成为地缘政治工具 074 跨平台攻击武器构造复杂攻击链 074 针对海外机构的APT攻击增多,威胁风险加大 075 国家级APT攻击瞄准国产应用,信创基础设施威胁凸显 # P 076 PART 4 # 2026年APT攻击发展趋势预测 077 AI驱动的攻击全面升级,智能体将大大提升攻击效率 077 云基础设施与供应链攻击更为频繁 078 关键基础设施成为破坏与勒索的首选目标 078 量子计算威胁逼近,加密数据泄露不可不查 079 网络攻击是混合作战的重要组成部分 079 攻击技术持续升级、系统化攻击工程是必经之路 # P 080 PART 5 # 参考链接 # CONTENTS /目录 PART 1 P004 概述 005 2025年度全球高级可持续性威胁形势概览 006 2025年度活跃APT组织统计 P 010 地区 011 北美 015 朝鲜半岛 029 中国台湾省 036 东南亚 042 南亚 055 东欧 062 中东 064 南美 P 066 PART 3 # 2025年APT攻击发展趋势分析 067 攻击活动使用的ATT&CK技战术TOP20 069 APT攻击活动Oday漏洞统计 070 利用开源代码仓库方式进行供应链攻击 071 AI技术已被攻击者应用在深度伪造和诱饵制作等场景 072 破坏背后的逻辑,网络攻击成为地缘政治工具 074 跨平台攻击武器构造复杂攻击链 074 针对海外机构的APT攻击增多,威胁风险加大 075 国家级APT攻击瞄准国产应用,信创基础设施威胁凸显 P 076 PART 4 # 2026年APT攻击发展趋势预测 077 AI驱动的攻击全面升级,智能体将大大提升攻击效率 077 云基础设施与供应链攻击更为频繁 078 关键基础设施成为破坏与勒索的首选目标 078 量子计算威胁逼近,加密数据泄露不可不查 079 网络攻击是混合作战的重要组成部分 079 攻击技术持续升级、系统化攻击工程是必经之路 P 080 PART 5 # 参考链接 # PART 1 # 概述 P 004 P 009 2025年度全球高级可持续性威胁形势概览 2025年度活跃APT组织统计 # 1、2025年度全球高级可持续性威胁形势概览 2025年，世界政治经济格局进入深刻演变期，传统秩序加速调整，新兴力量加快崛起。全球范围内冲突与博弈显著增多，地缘冲突在多地区凸显，多极化进程在曲折中持续向前。与此同时，网络安全态势正经历深刻演进，已从“技术层面对抗”升级为关乎国家生存与发展的战略博弈。我国网络空间安全面临复杂严峻挑战：境外国家级APT攻击持续不断，人工智能驱动的新型攻击与供应链渗透风险集中显现，黑色产业链助推勒索攻击与数据泄露趋于产业化，网络空间防御体系承受全方位压力。 2025年，全球网络安全厂商和机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于首次披露的APT组织42个，比2024年同期均呈现一定程度增加。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业领域。当前，国家层面的网络攻防对抗不再局限于传统安全范畴，已经逐渐成为国家战略体系中不可或缺的组成部分。 我国历来是APT组织攻击的重点区域。依托360安全大模型，360高级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。相关APT组织主要来自北美、东亚、南亚、东南亚等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军工、制造等15个重点行业领域。 2025年，北美和我国台湾省地区的APT组织活跃度较往年明显增加，这与中美政博弈、台海局势发展密切相关。来自北美地区的APT攻击技战术水平高超，主要针对我国重点科研和关基单位，造成的影响和危害极大；来自我国台湾省地区的APT组织主要针对我国政府机构和教育科研等领域展开钓鱼攻击，从而进行渗透和窃密。 2025年，360再次捕获并披露了到4个全新APT组织，分别为北美地区的APT-C-78、东亚地区的APT-C-64（匿名者64）、APT-C-67（乌苏拉）和南亚地区的APT-C-76（银环蛇）。截至2025年底，360已累计率先发现并披露了60个境外APT组织。 2025年，全球APT组织攻击技战术向规模化与战略化演进，供应链安全成为关键防线。在未来攻防两端对抗中AI技术的运用中，使得“AI对战AI”成为常态。网络空间的攻防对抗步入智能驱动、攻防前置、全域联动的新阶段。 # PART 1 # 概述 P 004 P 009 2025年度全球高级可持续性威胁形势概览 2025年度活跃APT组织统计 # 1、2025年度全球高级可持续性威胁形势概览 2025年,世界政治经济格局进入深刻演变期,传统秩序加速调整,新兴力量加快崛起。全球范围内冲突与博弈显著增多,地缘冲突在多地区凸显,多极化进程在曲折中持续向前。与此同时,网络安全态势正经历深刻演进,已从“技术层面对抗”升级为关乎国家生存与发展的战略博弈。我国网络空间安全面临复杂严峻挑战:境外国家级APT攻击持续不断,人工智能驱动的新型攻击与供应链渗透风险集中显现,黑色产业链助推勒索攻击与数据泄露趋于产业化,网络空间防御体系承受全方位压力。 2025年，全球网络安全厂商和机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于首次披露的APT组织42个，比2024年同期均呈现一定程度增加。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业领域。当前，国家层面的网络攻防对抗不再局限于传统安全范畴，已经逐渐成为国家战略体系中不可或缺的组成部分。 我国历来是APT组织攻击的重点区域。依托360安全大模型，360高级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。相关APT组织主要来自北美、东亚、南亚、东南亚等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军工、制造等15个重点行业领域。 2025年，北美和我国台湾省地区的APT组织活跃度较往年明显增加，这与中美政博弈、台海局势发展密切相关。来自北美地区的APT攻击技战术水平高超，主要针对我国重点科研和关基单位，造成的影响和危害极大；来自我国台湾省地区的APT组织主要针对我国政府机构和教育科研等领域展开钓鱼攻击，从而进行渗透和窃密。 2025年，360再次捕获并披露了到4个全新APT组织，分别为北美地区的APT-C-78、东亚地区的APT-C-64（匿名者64）、APT-C-67（乌苏拉）和南亚地区的APT-C-76（银环蛇）。截至2025年底，360已累计率先发现并披露了60个境外APT组织。 2025年，全球APT组织攻击技战术向规模化与战略化演进，供应链安全成为关键防线。在未来攻防两端对抗中AI技术的运用中，使得“AI对战AI”成为常态。网络空间的攻防对抗步入智能驱动、攻防前置、全域联动的新阶段。 # 2、2025年度活跃APT组织统计 2025年,全球大国竞争呈现白热化,在军事、政治、经济等领域的博弈进一步深化,“国家级”背景的APT组织的攻击活动更加贴近的于地缘政治势力在地区博弈和竞争的战略。尤其在地缘军事行动中,国家级APT攻击已经成为战争战略战术的重要一环。 在此形势下，全球APT组织继续保持高活跃度。截止2025年底，全球网络安全厂商以及机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于首次披露组织42个。从全球范围看APT组织攻击比较集中的行业为政府机构、国防军工、信息技术、金融、制造等领域。 东亚 组织名称 活跃程度 北美 组织名称 活跃程度 APT-C-01(毒云藤) ★★★★★ APT-C-78 ★★★★★ APT-C-65(金叶萝) ★★★★★ APT-C-40(NSA) ★ APT-C-26(Lazarus) ★★★★★ APT-C-55(Kimsuky) ★★★★★ 东南亚 组织名称 活跃程度 APT-C-06(DarkHotel) ★★★ APT-C-00(海莲花) ★★★★★ APT-C-60(伪猎者) ★★★ APT-C-64(匿名者64) ★★ 东欧 组织名称 活跃程度 APT-C-28(ScarCruft) ★★ APT-C-20(APT28) ★★★★★ APT-C-67(乌苏拉) ★★ APT-C-53(Gamaredon) ★★★ APT-C-13(Sandworm) ★★★ 南亚 组织名称 活跃程度 APT-C-25(APT29) ★★ APT-C-08(蔓灵花) ★★★★★ APT-C-29(Turla) ★★ APT-C-09(摩诃草) ★★★★★ APT-C-48(CNC) ★★★ 中东 组织名称 活跃程度 APT-C-56(透明部落) ★★★ APT-C-51(APT35) ★★★ APT-C-76(银环蛇) ★★★ APT-C-49(OilRig) ★★★ APT-C-24(响尾蛇) ★★★ APT-C-70(独角犀) ★★ 南美 组织名称 活跃程度 APT-C-35(肚脑虫) ★★ APT-C-36(盲眼鹰) ★★ # 2、2025年度活跃APT组织统计 2025年,全球大国竞争呈现白热化,在军事、政治、经济等领域的博弈进一步深化,“国家级”背景的APT组织的攻击活动更加贴近的于地缘政治势力在地区博弈和竞争的战略。尤其在地缘军事行动中,国家级APT攻击已经成为战争战略战术的重要一环。 在此形势下，全球APT组织继续保持高活跃度。截止2025年底，全球网络安全厂商以及机构累计发布APT报告700多篇，报告涉及APT组织140个，其中属于首次披露组织42个。从全球范围看APT组织攻击比较集中的行业为政府机构、国防军工、信息技术、金融、制造等领域。 东亚 组织名称 活跃程度 北美 组织名称 活跃程度 APT-C-01(毒云藤) ★★★★★ APT-C-78 ★★★★★ APT-C-65(金叶萝) ★★★★★ APT-C-40(NSA) ★ APT-C-26(Lazarus) ★★★★★ APT-C-55(Kimsuky) ★★★★★ 东南亚 组织名称 活跃程度 APT-C-06(DarkHotel) ★★★ APT-C-00(海莲花) ★★★★★ APT-C-60(伪猎者) ★★★ APT-C-64(匿名者64) ★★ 东欧 组织名称 活跃程度 APT-C-28(ScarCruft) ★★ APT-C-20(APT28) ★★★★★ APT-C-67(乌苏拉) ★★ APT-C-53(Gamaredon) ★★★ APT-C-13(Sandworm) ★★★ 南亚 组织名称 活跃程度 APT-C-25(APT29) ★★ APT-C-08(蔓灵花) ★★★★★ APT-C-29(Turla) ★★ APT-C-09(摩诃草) ★★★★★ APT-C-48(CNC) ★★★ 中东 组织名称 活跃程度 APT-C-56(透明部落) ★★★ APT-C-51(APT35) ★★★ APT-C-76(银环蛇) ★★★ APT-C-49(OilRig) ★★★ APT-C-24(响尾蛇) ★★★ APT-C-70(独角犀) ★★ 南美 组织名称 活跃程度 APT-C-35(肚脑虫) ★★ APT-C-36(盲眼鹰) ★★ 我国历来是地缘周边APT组织攻击的重点区域。依托360安全大模型，360高级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。APT组织攻击源主要来自南亚、东南亚、东亚以及北美等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军工、制造等15个重点行业领域。 基于APT组织攻击活动频次、攻击活动影响单位和终端数量、攻击技战术水平等多个指标，我们对2025年攻击活动影响我国的APT组织活跃度进行综合评估，得出下表。 排名 攻击来源组织分布 所在地域 目标行业领域 TOP1 APT-C-01(毒云藤) 东亚地区 政府、教育、科研等 TOP2 APT-C-00(海莲花) 东南亚地区 教育、科研、政府等 TOP3 APT-C-65(金叶萝) 东亚地区 政府、国防军工、科研等 TOP4 APT-C-08(蔓灵花) 南亚地区 政府、教育、供应商等 TOP5 APT-C-09(摩诃草) 南亚地区 教育、科研、政府、制造等 TOP6 APT-C-06(DarkHotel) 东亚地区 贸易、科研、政府等 TOP7 APT-C-48(CNC) 南亚地区 教育、国防军工、科研等 TOP8 APT-C-78 北美地区 国防军工、制造、能源等 TOP9 APT-C-60(伪猎者) 东亚地区 政府、贸易等 TOP10 APT-C-64(匿名者64) 东亚地区 政府、国防军工、科研等 APT组织对我国政府、教育、科研行业攻击占比超过七成，其危害远超普通网络攻击，直接关系国家安全与科技发展命脉。针对我国政府、教育和科研机构的高级持续性威胁攻击呈现出高频次、高隐蔽性、高战略意图的特征，已成为危害我国国家安全、科技主权与数据主权的核心风险之一。这些攻击的背后往往是由境外情报机构主导、具备国家级资源支持的系统性网络间谍活动，其目的远超经济窃密，直指国家核心竞争力与战略安全。 我国历来是地缘周边APT组织攻击的重点区域。依托360安全大模型，360高级威胁研究院在2025年，累计捕获到1300余起针对我国的APT攻击活动。APT组织攻击源主要来自南亚、东南亚、东亚以及北美等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军工、制造等15个重点行业领域。 基于APT组织攻击活动频次、攻击活动影响单位和终端数量、攻击技战术水平等多个指标，我们对2025年攻击活动影响我国的APT组织活跃度进行综合评估，得出下表。 排名 攻击来源组织分布 所在地域 目标行业领域 TOP1 APT-C-01(毒云藤) 东亚地区 政府、教育、科研等 TOP2 APT-C-00(海莲花) 东南亚地区 教育、科研、政府等 TOP3 APT-C-65(金叶萝) 东亚地区 政府、国防军工、科研等 TOP4 APT-C-08(蔓灵花) 南亚地区 政府、教育、供应商等 TOP5 APT-C-09(摩诃草) 南亚地区 教育、科研、政府、制造等 TOP6 APT-C-06(DarkHotel) 东亚地区 贸易、科研、政府等 TOP7 APT-C-48(CNC) 南亚地区 教育、国防军工、科研等 TOP8 APT-C-78 北美地区 国防军工、制造、能源等 TOP9 APT-C-60(伪猎者) 东亚地区 政府、贸易等 TOP10 APT-C-64(匿名者64) 东亚地区 政府、国防军工、科研等 APT组织对我国政府、教育、科研行业攻击占比超过七成，其危害远超普通网络攻击，直接关系国家安全与科技发展命脉。针对我国政府、教育和科研机构的高级持续性威胁攻击呈现出高频次、高隐蔽性、高战略意图的特征，已成为危害我国国家安全、科技主权与数据主权的核心风险之一。这些攻击的背后往往是由境外情报机构主导、具备国家级资源支持的系统性网络间谍活动，其目的远超经济窃密，直指国家核心竞争力与战略安全。 # PART 2 # 地区 P 010 北美 朝鲜半岛 中国台湾省 东南亚 P 065 南亚 东欧 中东 南美 东南亚 # 1、北美 2025年的中美两国在政治、经济、贸易等多个领域激烈博弈，中美关系逐渐形成“竞争为主、对抗可控、合作局部”的新平衡。在此背景下，2025年北美地区APT组织对我国的网络攻击活动，呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核心特征。 2025年年初，北美地区APT组织，针对我国智慧能源和数字信息大型高科技企业展开网络攻击，意图窃取核心技术与商业机密，影响高科技产业竞争；2月，以APT-C-40(NSA)组织为核心执行机构，联合美高校作为“学术掩护体”，针对我国亚冬会相关服务展开攻击活动，威胁亚冬会赛事系统与黑龙江地区关键基础设施，美方3名TAO特工因此次攻击事件被我国通缉；10月，我国国家安全机关再次披露了APT-C-40(NSA)组织对我国国家授时中心实施的重大网络攻击活动。 # PART 2 # 地区 P 010 北美 朝鲜半岛 中国台湾省 东南亚 P 065 南亚 东欧 中东 南美 东南亚 # 1、北美 2025年的中美两国在政治、经济、贸易等多个领域激烈博弈，中美关系逐渐形成“竞争为主、对抗可控、合作局部”的新平衡。在此背景下，2025年北美地区APT组织对我国的网络攻击活动，呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核心特征。 2025年年初，北美地区APT组织，针对我国智慧能源和数字信息大型高科技企业展开网络攻击，意图窃取核心技术与商业机密，影响高科技产业竞争；2月，以APT-C-40(NSA)组织为核心执行机构，联合美高校作为“学术掩护体”，针对我国亚冬会相关服务展开攻击活动，威胁亚冬会赛事系统与黑龙江地区关键基础设施，美方3名TAO特工因此次攻击事件被我国通缉；10月，我国国家安全机关再次披露了APT-C-40(NSA)组织对我国国家授时中心实施的重大网络攻击活动。 披露时间 报告名称 发布机构 2025-1-17 美网络攻击我国某先进材料设计研究院事件调查报告 国家互联网应急中心 2025-1-17 美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告 国家互联网应急中心 2025-3-25 美情报机构针对全球移动智能终端实施的监听窃密活动 中国网络安全产业联盟 2025-4-3 “2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告 国家计算机病毒应急处理中心 2025-4-15 央视新闻报道:360揭批美国NSA针对亚冬会发起网络攻击 360 2025-4-16 公安机关公开悬赏通缉3名美国特工美国国家安全局组织实施亚冬会网络攻击活动 中华人民共和国公安部 2025-4-28 美情报机构利用网络 攻击中国大型商用密码产品提供商事件调查报告 中国网络空间安全协会 2025-7-3 APT-C-78组织Exchange内存自检工具发布 360 2025-8-1 美情报机构频繁对我国防军工领域实施网络攻击窃密 中国网络空间安全协会 2025-10-19 守护“北京时间”!国家安全机关破获美国国家安全局重大网络攻击案 国家安全部 2025-10-19 关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告 国家互联网应急中心 2025-10-22 深度复盘美国NSA渗透攻击授时中心,360安全智能体蜂群引领政企防护升维 360 360高级威胁研究院在2025年捕获到多起北美地区APT组织对我国关基单位的重大网络攻击活动。这些网络攻击活动聚焦在关键基础设施(能源、电信、交通、授时)、高科技(半导体、量子、先进材料)、重大赛事与政府机构领域。其战略意图是期望通过技术遏制, 窃取核心技术, 延缓中国高科技产业的发展和突破; 同时在关键基础设施植入后门, 形成“战时破坏”能力, 实现战略威慑。 # 1.1、APT-C-40 (NSA) APT-C-40(NSA)组织持续针对我国以及全球的网络攻击和渗透,其攻击技战术复杂,攻击武器储备丰富,技战术水平大幅领先于已知的网络攻击组织。在2025年,我国国家安全机关披露了该组织对国家授时中心实施的网络攻击活动。 APT-C-40(NSA)组织在此次攻击中使用了多达42款网络攻击武器，在2022年3月至2024年6月期间，攻击者利用境外网络资产作为主控端服务器持续实施了千余次攻击，严重破坏我国关键信息基础设施安全，对国家安全造成系统性、持续性危害。 在本次攻击活动中, 攻击者在手机端成功获取办公计算机的登录凭证后, 进一步通过手机端作为跳板取得了计算机端点的远程控制权限, 并依次完成特种网络攻击武器的植入与升级。 # 近源探测/攻击 失陷手机会利用蓝牙、WIFI信道探测和连接周边设备或手机使用网络协议漏洞、远程服务漏洞攻击周边设备或手机 随后, 攻击者通过多款网络攻击武器协同作业, 在目标内网构建起一个包含四层加密隧道的窃密攻击平台, 具备高度隐蔽性与完整攻击功能, 进而以此实施内网横向渗透, 非法窃取关键数据信息。 整个过程中, 攻击者在计算机终端上部署的攻击模块总计达42个。这些模块均采用内存加载、解密执行的方式运行, 有效规避了常规安全软件的检测与查杀。 其中,前哨控守类武器 (eHome_0cx) 作为核心加载调度模块,由四个组件共同构成,负责协调并调用 披露时间 报告名称 发布机构 2025-1-17 美网络攻击我国某先进材料设计研究院事件调查报告 国家互联网应急中心 2025-1-17 美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告 国家互联网应急中心 2025-3-25 美情报机构针对全球移动智能终端实施的监听窃密活动 中国网络安全产业联盟 2025-4-3 “2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告 国家计算机病毒应急处理中心 2025-4-15 央视新闻报道:360揭批美国NSA针对亚冬会发起网络攻击 360 2025-4-16 公安机关公开悬赏通缉3名美国特工美国国家安全局组织实施亚冬会网络攻击活动 中华人民共和国公安部 2025-4-28 美情报机构利用网络 攻击中国大型商用密码产品提供商事件调查报告 中国网络空间安全协会 2025-7-3 APT-C-78组织Exchange内存自检工具发布 360 2025-8-1 美情报机构频繁对我国防军工领域实施网络攻击窃密 中国网络空间安全协会 2025-10-19 守护“北京时间”!国家安全机关破获美国国家安全局重大网络攻击案 国家安全部 2025-10-19 关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告 国家互联网应急中心 2025-10-22 深度复盘美国NSA渗透攻击授时中心,360安全智能体蜂群引领政企防护升维 360 360高级威胁研究院在2025年捕获到多起北美地区APT组织对我国关基单位的重大网络攻击活动。这些网络攻击活动聚焦在关键基础设施(能源、电信、交通、授时)、高科技(半导体、量子、先进材料)、重大赛事与政府机构领域。其战略意图是期望通过技术遏制, 窃取核心技术, 延缓中国高科技产业的发展和突破; 同时在关键基础设施植入后门, 形成“战时破坏”能力, 实现战略威慑。 # 1.1、APT-C-40 (NSA) APT-C-40(NSA)组织持续针对我国以及全球的网络攻击和渗透,其攻击技战术复杂,攻击武器储备丰富,技战术水平大幅领先于已知的网络攻击组织。在2025年,我国国家安全机关披露了该组织对国家授时中心实施的网络攻击活动。 APT-C-40(NSA)组织在此次攻击中使用了多达42款网络攻击武器，在2022年3月至2024年6月期间，攻击者利用境外网络资产作为主控端服务器持续实施了千余次攻击，严重破坏我国关键信息基础设施安全，对国家安全造成系统性、持续性危害。 在本次攻击活动中, 攻击者在手机端成功获取办公计算机的登录凭证后, 进一步通过手机端作为跳板取得了计算机端点的远程控制权限, 并依次完成特种网络攻击武器的植入与升级。 # 近源探测/攻击 失陷手机会利用蓝牙、WIFI信道探测和连接周边设备或手机使用网络协议漏洞、远程服务漏洞攻击周边设备或手机 随后, 攻击者通过多款网络攻击武器协同作业, 在目标内网构建起一个包含四层加密隧道的窃密攻击平台, 具备高度隐蔽性与完整攻击功能, 进而以此实施内网横向渗透, 非法窃取关键数据信息。 整个过程中, 攻击者在计算机终端上部署的攻击模块总计达42个。这些模块均采用内存加载、解密执行的方式运行, 有效规避了常规安全软件的检测与查杀。 其中,前哨控守类武器 (eHome_0cx) 作为核心加载调度模块,由四个组件共同构成,负责协调并调用 其他各类网络攻击武器，包括隧道搭建类武器(Back_Eleven)以及数据窃取类武器(New-Dsz-Implant)，形成一个层次清晰、功能完备的攻击体系。 图 $①$ 我们通过深入分析发现，相比“飞马”等间谍软件针对苹果手机的窃密攻击，“三角测量”攻击活动针对苹果手机的攻击复杂度与隐蔽性更高。该类攻击通常采用多阶段、高集成的漏洞利用链，并植入极难检测的持久化后门，从而给防御与检测工作带来极大挑战。 # 1.2、APT-C-78 APT-C-78是360高级威胁研究院在2025年捕获并披露的北美地区APT组织。该组织表现活跃，针对我国国防军工、科研、信息技术、能源、汽车制造等几个领域重点目标策划了针对性攻击活动。 APT-C-78组织在2025年的攻击活动中对目标单位针对性的挖掘Web漏洞，并利用漏洞展开攻击活动。该组织在针对我国某国防军工背景相关单位的攻击活动中，针对受害企业自行开发的Web服务进行漏洞挖掘，继而利用漏洞展开攻击；在获得内网相关权限后，进一步利用某国产安全软件的服务端更新机制，分发专项后门程序，实现了对受害单位员工主机的批量控制。 # 2、朝鲜半岛 2025年朝鲜半岛的网络攻击活动频繁，其活动具有高度组织性、隐蔽性和战略性。 朝鲜半岛的APT组织攻击目标广泛，涉及金融、能源、政府机构等基础设施，以及通过攻击外交、国防相关机构获取战略情报；APT-C-06(DarkHotel)、APT-C-60(伪猎者)等组织主要针对我国政府机构、驻外机构以及涉朝相关目标，擅长基于供应链攻击，尤其是利用目标环境特定应用Oday漏洞进行突破；APT-C-26(Lazarus)、APT-C-55(Kimsuky)等组织除了对朝鲜半岛周围政府组织、涉朝机构等目标关注，更多攻击是针对虚拟加密货币的窃取活动，对全球金融与地缘安全构成持续冲击。 朝鲜半岛地区APT组织的网络攻击已成为“国家级融资工具”，战术从0day漏洞利用、多阶段攻击链等复杂手法延伸出“社会工程 + 内部渗透”，AI深度伪造与供应链攻击成为新趋势，对全球金融安全与地缘稳定构成重大威胁。 其他各类网络攻击武器，包括隧道搭建类武器(Back_Eleven)以及数据窃取类武器(New-Dsz-Implant)，形成一个层次清晰、功能完备的攻击体系。 图 $①$ 我们通过深入分析发现，相比“飞马”等间谍软件针对苹果手机的窃密攻击，“三角测量”攻击活动针对苹果手机的攻击复杂度与隐蔽性更高。该类攻击通常采用多阶段、高集成的漏洞利用链，并植入极难检测的持久化后门，从而给防御与检测工作带来极大挑战。 # 1.2、APT-C-78 APT-C-78是360高级威胁研究院在2025年捕获并披露的北美地区APT组织。该组织表现活跃，针对我国国防军工、科研、信息技术、能源、汽车制造等几个领域重点目标策划了针对性攻击活动。 APT-C-78组织在2025年的攻击活动中对目标单位针对性的挖掘Web漏洞，并利用漏洞展开攻击活动。该组织在针对我国某国防军工背景相关单位的攻击活动中，针对受害企业自行开发的Web服务进行漏洞挖掘，继而利用漏洞展开攻击；在获得内网相关权限后，进一步利用某国产安全软件的服务端更新机制，分发专项后门程序，实现了对受害单位员工主机的批量控制。 # 2、朝鲜半岛 2025年朝鲜半岛的网络攻击活动频繁，其活动具有高度组织性、隐蔽性和战略性。 朝鲜半岛的APT组织攻击目标广泛,涉及金融、能源、政府机构等基础设施,以及通过攻击外交、国防相关机构获取战略情报;APT-C-06(DarkHotel)、APT-C-60(伪猎者)等组织主要针对我国政府机构、驻外机构以及涉朝相关目标,擅长基于供应链攻击,尤其是利用目标环境特定应用Oday漏洞进行突破;APT-C-26(Lazarus)、APT-C-55(Kimsuky)等组织除了对朝鲜半岛周围政府组织、涉朝机构等目标关注,更多攻击是针对虚拟加密货币的窃取活动,对全球金融与地缘安全构成持续冲击。 朝鲜半岛地区APT组织的网络攻击已成为“国家级融资工具”，战术从0day漏洞利用、多阶段攻击链等复杂手法延伸出“社会工程 + 内部渗透”，AI深度伪造与供应链攻击成为新趋势，对全球金融安全与地缘稳定构成重大威胁。 # 2.1、APT-C-06 (DarkHotel) APT-C-06 (DarkHotel) 组织在2025年攻击活动有所增加, 技战术迭代升级。该组织的攻击行业未有明显变化, 对我国的攻击活动受地缘因素影响, 集中在朝鲜半岛附近地区的对朝贸易相关单位。 2025年上半年，APT-C-06(DarkHotel)组织在攻击活动中，利用钓鱼邮件分发包含恶意安装包的附件。攻击者使用的诱饵文件为“登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录 载荷的执行流程如下图所示： 图① 在我们捕获的另外一起攻击活动中, 攻击者通过网盘工具、聊天工具和U盘等方式投递伪装成输入法以及伪装成压缩工具的恶意程序, 受影响用户分布在朝鲜半岛周边地区。经360高级威胁研究院分析,这两种恶意程序均与APT-C-06 (DarkHotel)组织在历史攻击活动中使用的攻击载荷高度相似。 # 2.1、APT-C-06 (DarkHotel) APT-C-06 (DarkHotel) 组织在2025年攻击活动有所增加, 技战术迭代升级。该组织的攻击行业未有明显变化, 对我国的攻击活动受地缘因素影响, 集中在朝鲜半岛附近地区的对朝贸易相关单位。 2025年上半年，APT-C-06(DarkHotel)组织在攻击活动中，利用钓鱼邮件分发包含恶意安装包的附件。攻击者使用的诱饵文件为“登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录登录 载荷的执行流程如下图所示： 图① 在我们捕获的另外一起攻击活动中, 攻击者通过网盘工具、聊天工具和U盘等方式投递伪装成输入法以及伪装成压缩工具的恶意程序, 受影响用户分布在朝鲜半岛周边地区。经360高级威胁研究院分析,这两种恶意程序均与APT-C-06 (DarkHotel)组织在历史攻击活动中使用的攻击载荷高度相似。 在2025年下半年，APT-C-06 (DarkHotel) 在6月份使用恶意软件展开一波攻击后，我们又监测到另一波相似的攻击活动。在这次攻击活动中，更多类型的恶意软件出现。这些软件通过U盘接入，进而部署攻击载荷。此次攻击的受影响用户仍是我国和俄罗斯等周边地缘国家的涉朝相关人员。 # 2.2、APT-C-26 (Lazarus) 2025年，APT-C-26 (Lazarus) 组织在全球范围内实施了高度复杂且多元化的网络攻击活动，核心目标聚焦于加密货币盗窃与国防、关键基础设施等战略情报收集。整体攻击战术呈现技术融合化、行动全球化，深度集成AI技术提升社会工程调研和攻击效率。同时利用跨平台恶意软件框架实现全场景覆盖，该组织基础设施覆盖全球多地，通过深度匿名，规避溯源。 2025年，APT-C-26(Lazarus)组织针对加密货币的攻击频繁，影响极大。在2025初，APT-C-26(Lazarus)组织实施了近年来最大的加密货币盗窃案，盗窃Bybit公司超过14.6亿美元，其中包括401,347个以太币。 时间戳(UTC) 事件描述 2025-02-02 01:50:18 攻击者通过Namecheap注册域名getstockprice.com; 2025-02-04 08:55:45 Safe (Wallet) 开发者遭到社会工程攻击,账户被入侵; 2025-02-05 08:36:51 攻击者使用获取的AWS访问令牌首次访问Safe ((Wallet)的AWS环境; 2025-02-05 14:06:25 攻击者尝试注册自己的MFA设备,但操作失败; 2025-02-05 至 2025-02-17 攻击者在Safe (Wallet)的AWS环境中进行侦察活动; 2025-02-17 03:22:44 攻击者开始在AWS环境中执行命令和控制活动; 2025-02-19 15:29:25 攻击者在Safe (Wallet)网站中植入恶意JS代码; 2025-02-21 14:13:35 Bybit平台发生恶意交易; 2025-02-21 14:15:13 攻击者删除了Safe (Wallet)网站上的恶意JS代码; 2025-02-21 14:16:11 Bybit平台发生资金盗窃交易。 在2025年下半年，APT-C-06 (DarkHotel) 在6月份使用恶意软件展开一波攻击后，我们又监测到另一波相似的攻击活动。在这次攻击活动中，更多类型的恶意软件出现。这些软件通过U盘接入，进而部署攻击载荷。此次攻击的受影响用户仍是我国和俄罗斯等周边地缘国家的涉朝相关人员。 # 2.2、APT-C-26 (Lazarus) 2025年，APT-C-26 (Lazarus) 组织在全球范围内实施了高度复杂且多元化的网络攻击活动，核心目标聚焦于加密货币盗窃与国防、关键基础设施等战略情报收集。整体攻击战术呈现技术融合化、行动全球化，深度集成AI技术提升社会工程调研和攻击效率。同时利用跨平台恶意软件框架实现全场景覆盖，该组织基础设施覆盖全球多地，通过深度匿名，规避溯源。 2025年，APT-C-26(Lazarus)组织针对加密货币的攻击频繁，影响极大。在2025初，APT-C-26(Lazarus)组织实施了近年来最大的加密货币盗窃案，盗窃Bybit公司超过14.6亿美元，其中包括401,347个以太币。 时间戳(UTC) 事件描述 2025-02-02 01:50:18 攻击者通过Namecheap注册域名getstockprice.com; 2025-02-04 08:55:45 Safe (Wallet) 开发者遭到社会工程攻击,账户被入侵; 2025-02-05 08:36:51 攻击者使用获取的AWS访问令牌首次访问Safe ((Wallet)的AWS环境; 2025-02-05 14:06:25 攻击者尝试注册自己的MFA设备,但操作失败; 2025-02-05 至 2025-02-17 攻击者在Safe (Wallet)的AWS环境中进行侦察活动; 2025-02-17 03:22:44 攻击者开始在AWS环境中执行命令和控制活动; 2025-02-19 15:29:25 攻击者在Safe (Wallet)网站中植入恶意JS代码; 2025-02-21 14:13:35 Bybit平台发生恶意交易; 2025-02-21 14:15:13 攻击者删除了Safe (Wallet)网站上的恶意JS代码; 2025-02-21 14:16:11 Bybit平台发生资金盗窃交易。 360高级威胁研究院捕获到了APT-C-26(Lazarus)组织从2025年10月开始，针对加密货币行业从业人员投递的一款名为WoobinProxy的复杂多功能后门组件。攻击者通常利用伪装成招聘文档的恶意LNK文件进行初始投递，通过多层Shellcode加载与远程下载技术释放载荷。该组件具备极高的隐蔽性，功能上集成了系统信息收集、键盘记录、屏幕监控、浏览器数据窃取及全盘文件枚举等全面的后门能力，并滥用Zoho WorkDrive等合法云服务作为C2通信通道，规避安全检测。 图：APT-C-26（Lazarus）组织对加密货币的攻击流程示意图 APT-C-26 (Lazarus) 组织极为擅长伪装, 构造的虚假企业足以以假乱真。他们在攻击活动中投递虚假的项目库、NPM库, 伪造虚假的面试邀约向目标软件开发人员投放恶意载荷。 图 $①$ 图①：APT-C-26(Lazarus)组织伪造的虚假公司官网 图②：APT-C-26（Lazarus）组织虚假的招聘网站 图③：APT-C-26 (Lazarus) 组织诱导面试人员执行恶意命令 图④：被攻击者自述 360高级威胁研究院捕获到了APT-C-26(Lazarus)组织从2025年10月开始，针对加密货币行业从业人员投递的一款名为WoobinProxy的复杂多功能后门组件。攻击者通常利用伪装成招聘文档的恶意LNK文件进行初始投递，通过多层Shellcode加载与远程下载技术释放载荷。该组件具备极高的隐蔽性，功能上集成了系统信息收集、键盘记录、屏幕监控、浏览器数据窃取及全盘文件枚举等全面的后门能力，并滥用Zoho WorkDrive等合法云服务作为C2通信通道，规避安全检测。 图：APT-C-26（Lazarus）组织对加密货币的攻击流程示意图 APT-C-26(Lazarus)组织极为擅长伪装,构造的虚假企业足以以假乱真。他们在攻击活动中投递虚假的项目库、NPM库,伪造虚假的面试邀约向目标软件开发人员投放恶意载荷。 图 $①$ 图①：APT-C-26(Lazarus)组织伪造的虚假公司官网 图②：APT-C-26（Lazarus）组织虚假的招聘网站 图③：APT-C-26 (Lazarus) 组织诱导面试人员执行恶意命令 图④：被攻击者自述 我们在追踪该组织的过程中捕获到该组织使用的一款功能完备的定制化监控程序，具备完整的远程桌面控制能力。通过分析发现，该组织中这些被派遣的远程IT人员在成功入职目标企业后，极有可能利用此类监控工具，在不触发警报的前提下，对所在企业的敏感数据进行隐蔽窃取。此类行为不仅威胁企业数据安全，更可能为该组织的后续网络攻击行动积累战略资源。 # 2.3、APT-C-47（旺刺） 2025年4月，我们监测到APT-C-47(旺刺)组织新的攻击活动。攻击者使用ClickOnce技术投递下一阶段载荷。 我们监测发现APT-C-47(旺刺)组织在攻击活动使用了知识产权行业相关的专利和商标律师事务所的收费表,以及英国某知识产权监管委员会的仿冒内容。由此推断APT-C-47(旺刺)组织疑似以知识产权为支点,对科研相关领域进行有计划地攻击渗透。 IMPORTANT INFORMATION FOR INDIVIDUALS AND SMALL BUSINESSES Are you considering getting legal advice about patents, trade marks, copyright or designs? Here are some things you might want to ask your attorney about the services they provide and the cost. 图① 此次攻击活动中, 攻击者通过ClickOnce部署了两部分载荷, 第一组载荷的主要功能是将第二组攻击组件拷贝到特定目录下, 然后执行、设置持久化、上传主机信息。第二组载荷通过白利用于内存中装载远控木马。 我们在追踪该组织的过程中捕获到该组织使用的一款功能完备的定制化监控程序，具备完整的远程桌面控制能力。通过分析发现，该组织中这些被派遣的远程IT人员在成功入职目标企业后，极有可能利用此类监控工具，在不触发警报的前提下，对所在企业的敏感数据进行隐蔽窃取。此类行为不仅威胁企业数据安全，更可能为该组织的后续网络攻击行动积累战略资源。 # 2.3、APT-C-47（旺刺） 2025年4月，我们监测到APT-C-47(旺刺)组织新的攻击活动。攻击者使用ClickOnce技术投递下一阶段载荷。 我们监测发现APT-C-47(旺刺)组织在攻击活动使用了知识产权行业相关的专利和商标律师事务所的收费表,以及英国某知识产权监管委员会的仿冒内容。由此推断APT-C-47(旺刺)组织疑似以知识产权为支点,对科研相关领域进行有计划地攻击渗透。 IMPORTANT INFORMATION FOR INDIVIDUALS AND SMALL BUSINESSES Are you considering getting legal advice about patents, trade marks, copyright or designs? Here are some things you might want to ask your attorney about the services they provide and the cost. 图① 此次攻击活动中, 攻击者通过ClickOnce部署了两部分载荷, 第一组载荷的主要功能是将第二组攻击组件拷贝到特定目录下, 然后执行、设置持久化、上传主机信息。第二组载荷通过白利用于内存中装载远控木马。 # 2.4、APT-C-60(伪猎者) 在2025年，APT-C-60(伪猎者)组织主要使用诱饵文档，对我国驻外相关机构，以及科研单位等目标展开钓鱼攻击；尤其在一些重大国际活动中，针对性攻击明显增加。该组织储备了大量的0day漏洞，历史上多次使用0day漏洞开展网络攻击。 我们通过监测发现APT-C-60(伪猎者)在2024年，该组织利用国产文档编辑软件的0day漏洞开展了钓鱼攻击；同年，我们还捕获到利用某邮件客户端0day漏洞针对我国涉朝目标展开攻击；在2025年9月初，我们又发现该组织利用国内某邮件服务商0day漏洞对目标人员开展攻击。这些针对国产应用软件漏洞开展的攻击，对国产应用软件环境造成不良影响。 APT-C-60(伪猎者)组织在2025年攻击活动的一大特点是使用了GitHub作为载荷托管的主要站点。截止2025年底我们观测到该组织涉及的27个仓库，进行了524次提交。 # 2.5、其他APT组织 朝鲜半岛地区APT组织众多、攻击活跃，APT-C-28（ScarCruft）组织、APT-C-55（Kimsuky）组织长期针对韩国政府机构及朝鲜半岛事务相关部门进行网络攻击。 # 2.5.1、APT-C-28 (ScarCruft) 2025年，APT-C-28(ScarCruft)组织将韩国作为核心作战目标，重点针对涉朝政治、外交、人权与学术研究领域个体以及学者、研究员、活动人士、心理辅导师、脱北者支援人员等小圈层；以韩文政治/招聘为主题诱饵，仿冒公共机构提升可信度，并逐渐将诱饵主题延伸至国家安全与情报相关主题。此外，360高级威胁研究院还捕获了APT-C-28(ScarCruft)组织持续使用的GoldBackDoor组件针对我国驻外机构相关目标进行网络攻击。 在攻击手段方面, 该组织显著提升跨平台攻击能力, 利用云服务分发恶意负载, 并动态更新C2指令, 有效规避IP黑名单。另外, 在攻击过程中还采用无文件攻击、多阶段混淆及虚拟机检测机制躲避安全工具检测。 # 2.4、APT-C-60(伪猎者) 在2025年，APT-C-60(伪猎者)组织主要使用诱饵文档,对我国驻外相关机构,以及科研单位等目标展开钓鱼攻击;尤其在一些重大国际活动中,针对性攻击明显增加。该组织储备了大量的0day漏洞,历史上多次使用0day漏洞开展网络攻击。 我们通过监测发现APT-C-60(伪猎者)在2024年，该组织利用国产文档编辑软件的0day漏洞开展了钓鱼攻击；同年，我们还捕获到利用某邮件客户端0day漏洞针对我国涉朝目标展开攻击；在2025年9月初，我们又发现该组织利用国内某邮件服务商0day漏洞对目标人员开展攻击。这些针对国产应用软件漏洞开展的攻击，对国产应用软件环境造成不良影响。 APT-C-60(伪猎者)组织在2025年攻击活动的一大特点是使用了GitHub作为载荷托管的主要站点。截止2025年底我们观测到该组织涉及的27个仓库，进行了524次提交。 # 2.5、其他APT组织 朝鲜半岛地区APT组织众多、攻击活跃，APT-C-28（ScarCruft）组织、APT-C-55（Kimsuky）组织长期针对韩国政府机构及朝鲜半岛事务相关部门进行网络攻击。 # 2.5.1、APT-C-28 (ScarCruft) 2025年，APT-C-28(ScarCruft)组织将韩国作为核心作战目标，重点针对涉朝政治、外交、人权与学术研究领域个体以及学者、研究员、活动人士、心理辅导师、脱北者支援人员等小圈层；以韩文政治/招聘为主题诱饵，仿冒公共机构提升可信度，并逐渐将诱饵主题延伸至国家安全与情报相关主题。此外，360高级威胁研究院还捕获了APT-C-28(ScarCruft)组织持续使用的GoldBackDoor组件针对我国驻外机构相关目标进行网络攻击。 在攻击手段方面, 该组织显著提升跨平台攻击能力, 利用云服务分发恶意负载, 并动态更新C2指令, 有效规避IP黑名单。另外, 在攻击过程中还采用无文件攻击、多阶段混淆及虚拟机检测机制躲避安全工具检测。 我们还捕获了APT-C-28 (ScarCruft) 组织针对韩国政府及企业人员、朝鲜人权组织和脱北者的多次威胁活动。在这些活动中攻击者通过分发LNK恶意文件, 采用无文件技术, 向目标系统植入RokRat恶意软件。 图 $①$ 我们同时监测到APT-C-28(ScarCruft)组织利用虚假的Office安装包对受害者展开攻击活动。攻击者通过通信工具与目标用户建立联系，在取得信任后，发送加密诱饵文件和虚假安装包。这些诱饵文件在用户执行恶意安装包后被解密，同时恶意安装包会释放后门程序，窃取用户信息。 图 $②$ # 2.5.2、APT-C-55 (Kimsuky) 2025年，APT-C-55 (Kimsuky) 组织主要攻击目标行业涉及韩国政府及与朝鲜半岛事务相关的政府、外交、国家安全机构、教育与研究机构、企业与金融等机构，以及加密货币领域。攻击目标从高价值机构人员逐步横向扩展到大众平台用户与加密货币生态。同时，我们还观察到该组织长期针对我国学术、外交等领域实施定向渗透，攻击活动隐蔽且持续。 在2025年，APT-C-55(Kimsuky)组织攻击武器显著更新。在移动端，APT-C-55(Kimsuky)组织以短信与二维码为入口，并结合物流、拍卖、VPN、空投等高可信度场景诱导安装，辅以门户登录仿冒与招聘站点钓鱼，实现凭证批量收集。在战术上延续鱼叉式邮件与LNK/HTA链路相结合的方式，C2服务采用HTTP POST与ID指令协议、Base64+XOR通信混淆实现通信保护；同时，还利用GitHub/Dropbox等云基础设施作为访问跳板。 在360高级威胁研究院捕获到的APT-C-55 (Kimsuky) 针对韩国地区的攻击行动中。该组织通过下发伪装成bandzip的安装包远程加载恶意代码执行, 释放VMP壳的HappyDoor木马用于窃密行动。 我们整理并总结了APT-C-55 (Kimsuky) 组织的三条主要攻击链路, 发现其在战术手法、基础设施与载荷特征上高度关联, 具备统一的行动模式与技术传承, 因此我们对其进行统一归因与持续追踪。 我们还捕获了APT-C-28 (ScarCruft) 组织针对韩国政府及企业人员、朝鲜人权组织和脱北者的多次威胁活动。在这些活动中攻击者通过分发LNK恶意文件, 采用无文件技术, 向目标系统植入RokRat恶意软件。 图 $①$ 我们同时监测到APT-C-28(ScarCruft)组织利用虚假的Office安装包对受害者展开攻击活动。攻击者通过通信工具与目标用户建立联系，在取得信任后，发送加密诱饵文件和虚假安装包。这些诱饵文件在用户执行恶意安装包后被解密，同时恶意安装包会释放后门程序，窃取用户信息。 图 $②$ # 2.5.2、APT-C-55 (Kimsuky) 2025年，APT-C-55(Kimsuky)组织主要攻击目标行业涉及韩国政府及与朝鲜半岛事务相关的政府、外交、国家安全机构、教育与研究机构、企业与金融等机构，以及加密货币领域。攻击目标从高价值机构人员逐步横向扩展到大众平台用户与加密货币生态。同时，我们还观察到该组织长期针对我国学术、外交等领域实施定向渗透，攻击活动隐蔽且持续。 在2025年，APT-C-55(Kimsuky)组织攻击武器显著更新。在移动端，APT-C-55(Kimsuky)组织以短信与二维码为入口，并结合物流、拍卖、VPN、空投等高可信度场景诱导安装，辅以门户登录仿冒与招聘站点钓鱼，实现凭证批量收集。在战术上延续鱼叉式邮件与LNK/HTA链路相结合的方式，C2服务采用HTTP POST与ID指令协议、Base64+XOR通信混淆实现通信保护；同时，还利用GitHub/Dropbox等云基础设施作为访问跳板。 在360高级威胁研究院捕获到的APT-C-55 (Kimsuky) 针对韩国地区的攻击行动中。该组织通过下发伪装成bandzip的安装包远程加载恶意代码执行, 释放VMP壳的HappyDoor木马用于窃密行动。 我们整理并总结了APT-C-55(Kimsuky)组织的三条主要攻击链路, 发现其在战术手法、基础设施与载荷特征上高度关联, 具备统一的行动模式与技术传承, 因此我们对其进行统一归因与持续追踪。 图 $①$ 图 $②$ 图 $③$ # 3、中国台湾省 2025年6月,国家计算机病毒应急处理中心在《“蚍蜉撼树”——台民进党当局“资通电军”黑客组织网络攻击活动调查报告》中披露了中国台湾省民进党当局支持的黑客组织,充当反华势力爪牙,长期针对我国政府机构、科研单位、高等院校、国防科技企业等实施网络间谍活动。网络攻击渗透成为“台独”和外部干涉势力的政治工具,对我国网络空间安全构成多重威胁。 2025年台海局势复杂严峻,充满挑战。在此期间，我国台湾省地区APT-C-01(毒云藤)、APT-C-67(乌苏拉)等网络组织持续活跃，意图通过网络攻击窃取国家重要政策、国防军工技术、尖端科技成果、国民经济运行数据等敏感数据信息;APT-C-64(匿名者64)组织还妄图通过攻击数字媒体服务系统，破坏社会公共秩序，制造混乱。 我国统一的大势不可阻挡，在通过法律、军事等手段坚决反制“台独”分裂行径的同时，也需不断警惕和防御来自网络空间的渗透与攻击活动。 图 $①$ 图 $②$ 图 $③$ # 3、中国台湾省 2025年6月,国家计算机病毒应急处理中心在《“蚍蜉撼树”——台民进党当局“资通电军”黑客组织网络攻击活动调查报告》中披露了中国台湾省民进党当局支持的黑客组织,充当反华势力爪牙,长期针对我国政府机构、科研单位、高等院校、国防科技企业等实施网络间谍活动。网络攻击渗透成为“台独”和外部干涉势力的政治工具,对我国网络空间安全构成多重威胁。 2025年台海局势复杂严峻,充满挑战。在此期间，我国台湾省地区APT-C-01(毒云藤)、APT-C-67(乌苏拉)等网络组织持续活跃，意图通过网络攻击窃取国家重要政策、国防军工技术、尖端科技成果、国民经济运行数据等敏感数据信息;APT-C-64(匿名者64)组织还妄图通过攻击数字媒体服务系统，破坏社会公共秩序，制造混乱。 我国统一的大势不可阻挡，在通过法律、军事等手段坚决反制“台独”分裂行径的同时，也需不断警惕和防御来自网络空间的渗透与攻击活动。 # 3.1、APT-C-01(毒云藤) 2025年，APT-C-01(毒云藤)组织持续通过针对性钓鱼攻击，对我国政府机构、国防军工、科研教育等多个重要行业领域展开攻击窃密。 在《反分裂国家法》颁布20周年之际，360监测到APT-C-01(毒云藤)组织利用国内某头部邮箱平台Oday漏洞实施网络钓鱼攻击。当用户访问相关钓鱼页面链接后无需用户其他操作，目标用户邮箱登录凭证等信息即被攻击者窃取。该攻击手法较之前传统钓鱼窃密更加隐蔽，成功率更高。 图 $①$ 2025年里,我们观测到APT-C-01(毒云藤)组织钓鱼攻击活动中,钓鱼网站部署变得更加隐蔽。攻击者使用短链接服务进行中转,以短链接服务的时效性让攻击者的服务器更加隐蔽。 图 $②$ 图 $①$ # 3.1、APT-C-01(毒云藤) 2025年，APT-C-01(毒云藤)组织持续通过针对性钓鱼攻击，对我国政府机构、国防军工、科研教育等多个重要行业领域展开攻击窃密。 在《反分裂国家法》颁布20周年之际，360监测到APT-C-01(毒云藤)组织利用国内某头部邮箱平台Oday漏洞实施网络钓鱼攻击。当用户访问相关钓鱼页面链接后无需用户其他操作，目标用户邮箱登录凭证等信息即被攻击者窃取。该攻击手法较之前传统钓鱼窃密更加隐蔽，成功率更高。 图 $①$ 2025年里,我们观测到APT-C-01(毒云藤)组织钓鱼攻击活动中,钓鱼网站部署变得更加隐蔽。攻击者使用短链接服务进行中转,以短链接服务的时效性让攻击者的服务器更加隐蔽。 图 $②$ # 3.2、APT-C-64（匿名者64） APT-C-64(匿名者64)组织攻击目标主要涉及我国大陆及港澳地区政府和企事业单位的数字媒体服务系统,以及相关网站、户外电子屏幕、网络电视等,攻击目的是通过篡改系统播放政治敏感内容,制造舆论效果,进而扰乱社会公共秩序。 攻击者首先对特定数字媒体发布管理系统(Digital Media System,简称DMS)服务的端口进行扫描探测,识别我国大陆以及港澳地区单位的DMS系统进行攻击,在获取控制权限后将有政治目的的煽动和诋毁视频发布到网页。 目前该组织声称已经攻破的“官方网站”实际大都为山寨版的官方网站或长期无人运营的子网站，暂未发现gov.cn、edu.cn、ac.cn、mil.cn等一级域名网站被攻击。 其典型攻击技战术下图所示： # 3.2、APT-C-64（匿名者64） APT-C-64(匿名者64)组织攻击目标主要涉及我国大陆及港澳地区政府和企事业单位的数字媒体服务系统,以及相关网站、户外电子屏幕、网络电视等,攻击目的是通过篡改系统播放政治敏感内容,制造舆论效果,进而扰乱社会公共秩序。 攻击者首先对特定数字媒体发布管理系统(Digital Media System,简称DMS)服务的端口进行扫描探测,识别我国大陆以及港澳地区单位的DMS系统进行攻击,在获取控制权限后将有政治目的的煽动和诋毁视频发布到网页。 目前该组织声称已经攻破的“官方网站”实际大都为山寨版的官方网站或长期无人运营的子网站，暂未发现gov.cn、edu.cn、ac.cn、mil.cn等一级域名网站被攻击。 其典型攻击技战术下图所示： # 3.3、APT-C-65(金叶萝) APT-C-65(金叶萝)组织自2020年以来,持续针对我国防军工、航空航天、能源等关基单位进行网络攻击渗透,目标窃取我关键信息基础设施重要数据。 APT-C-65(金叶萝)组织攻击活动与台当局领导人的所谓“外事活动”时间紧密关联。360通过对该组织持续监测发现，该组织分别在2022年8月美国国会众议长南希·佩洛西窜访中国台湾、2023年8月民进党代表赖清德窜访美国、2024年4月台湾省数字事务部参加美国网络安全演习期间，以及2024年12月初赖清德再次窜美几个时间节点前后，对我国防军工、政府机构、能源、交通运输等领域，特别其中的航空航天、港口、海事等相关单位，实施了密集的网络攻击和情报刺探活动。 APT-C-65(金叶萝)组织典型攻击手段是通过Web系统漏洞利用进行渗透,然后部署恶意软件窃取敏感数据。主要涉及国产电子文档安全管理系统、国产OA系统、国产ERP系统和国产办公系统等相关软件漏洞。攻击活动流程先是通过Web应用系统漏洞控制相关主机系统;然后通过调用Windows系统程序InstallUtil.exe来规避进程白名单检查,以隐藏恶意代码的执行。 # 3.4、APT-C-67（乌苏拉） APT-C-67(乌苏拉)是一个在中国台湾省地区近年来逐渐活跃的APT组织。该组织主要针对中国大陆和港澳地区的物联网系统,特别是视频监控系统,妄图通过控制大量视频监控设备,持续窃取我网络及地理空间情报数据。该组织典型网络攻击技战术如下图所示。 APT-C-67组织常态化借助公开网络资产测绘平台或通过批量网络地址扫描探测，获取我国境内暴露在互联网上存在已知漏洞的网络安防系统、网络摄像机等物联网系统的网络地址；进一步尝试利用已知漏洞非法获取监控系统后台控制权限，部署远程控制工具或木马，逐步完成内网渗透，最终获得安防系统的全面控制权限和数据访问权限，利用安防系统的实时视频和历史数据对目标所在区域实施情报收集。 2025年4月，该组织对我国某科技公司实施了网络攻击，通过绕过该公司网络防护装置，入侵自助设备后台系统，通过横向移动渗透，控制了该公司多台内网设备，进一步向这些设备后台系统上传多份恶 # 3.3、APT-C-65(金叶萝) APT-C-65(金叶萝)组织自2020年以来,持续针对我国防军工、航空航天、能源等关基单位进行网络攻击渗透,目标窃取我关键信息基础设施重要数据。 APT-C-65(金叶萝)组织攻击活动与台当局领导人的所谓“外事活动”时间紧密关联。360通过对该组织持续监测发现，该组织分别在2022年8月美国国会众议长南希·佩洛西窜访中国台湾、2023年8月民进党代表赖清德窜访美国、2024年4月台湾省数字事务部参加美国网络安全演习期间，以及2024年12月初赖清德再次窜美几个时间节点前后，对我国防军工、政府机构、能源、交通运输等领域，特别其中的航空航天、港口、海事等相关单位，实施了密集的网络攻击和情报刺探活动。 APT-C-65(金叶萝)组织典型攻击手段是通过Web系统漏洞利用进行渗透,然后部署恶意软件窃取敏感数据。主要涉及国产电子文档安全管理系统、国产OA系统、国产ERP系统和国产办公系统等相关软件漏洞。攻击活动流程先是通过Web应用系统漏洞控制相关主机系统;然后通过调用Windows系统程序InstallUtil.exe来规避进程白名单检查,以隐藏恶意代码的执行。 # 3.4、APT-C-67（乌苏拉） APT-C-67(乌苏拉)是一个在中国台湾省地区近年来逐渐活跃的APT组织。该组织主要针对中国大陆和港澳地区的物联网系统,特别是视频监控系统,妄图通过控制大量视频监控设备,持续窃取我网络及地理空间情报数据。该组织典型网络攻击技战术如下图所示。 APT-C-67组织常态化借助公开网络资产测绘平台或通过批量网络地址扫描探测，获取我国境内暴露在互联网上存在已知漏洞的网络安防系统、网络摄像机等物联网系统的网络地址；进一步尝试利用已知漏洞非法获取监控系统后台控制权限，部署远程控制工具或木马，逐步完成内网渗透，最终获得安防系统的全面控制权限和数据访问权限，利用安防系统的实时视频和历史数据对目标所在区域实施情报收集。 2025年4月，该组织对我国某科技公司实施了网络攻击，通过绕过该公司网络防护装置，入侵自助设备后台系统，通过横向移动渗透，控制了该公司多台内网设备，进一步向这些设备后台系统上传多份恶 # 4、东南亚 2025年中国与东南亚国家命运共同体建设进入务实推进的新阶段。东南亚各国对海洋问题的政治态度强调对话合作、反对域外干涉的总体特征。个别国家虽拥有广泛海洋权益诉求，但近年明显转向经济优先、安全谨慎策略。区域APT组织的攻击方向也是以窃取我国国际关系、海事研究、经济贸易情报为主。 # 4.1、APT-C-00（海莲花） APT-C-00(海莲花)组织攻击频繁，以我国国际关系、海事研究、经济贸易相关的科研及教育工作者作为主要攻击目标。 2025年我们监测到APT-C-00(海莲花)组织对存在可利用PHP-CGI RCE漏洞(CVE-2024-4577)的服务器展开批量攻击。攻击者通过此漏洞上传后门并实现长期驻留。 APT-C-00(海莲花)组织在利用某安全厂商终端防护程序的攻击活动中,在攻克的终端准入系统服务器上,基于终端服务程序执行安全管理命令的渠道下发后门模块,然后加载APT-C-00(海莲花)的特种木马。 本次攻击自5月持续至12月期间，APT-C-00(海莲花)曾多次投递第三方文件索引工具，挑选所需文件加密打包回传至服务器。同期，我们还观察到APT-C-00(海莲花)组织为躲避安全软件查杀而下发的轻量化Python后门。 # 4、东南亚 2025年中国与东南亚国家命运共同体建设进入务实推进的新阶段。东南亚各国对海洋问题的政治态度强调对话合作、反对域外干涉的总体特征。个别国家虽拥有广泛海洋权益诉求，但近年明显转向经济优先、安全谨慎策略。区域APT组织的攻击方向也是以窃取我国国际关系、海事研究、经济贸易情报为主。 # 4.1、APT-C-00（海莲花） APT-C-00(海莲花)组织攻击频繁，以我国国际关系、海事研究、经济贸易相关的科研及教育工作者作为主要攻击目标。 2025年我们监测到APT-C-00(海莲花)组织对存在可利用PHP-CGI RCE漏洞(CVE-2024-4577)的服务器展开批量攻击。攻击者通过此漏洞上传后门并实现长期驻留。 APT-C-00(海莲花)组织在利用某安全厂商终端防护程序的攻击活动中，在攻克的终端准入系统服务器上，基于终端服务程序执行安全管理命令的渠道下发后门模块，然后加载APT-C-00(海莲花)的特种木马。 本次攻击自5月持续至12月期间，APT-C-00(海莲花)曾多次投递第三方文件索引工具，挑选所需文件加密打包回传至服务器。同期，我们还观察到APT-C-00(海莲花)组织为躲避安全软件查杀而下发的轻量化Python后门。 2025年，APT-C-00(海莲花)组织将我国国际关系、海事研究、经济贸易相关的科研及教育工作者作为主要攻击目标，制作和投递与之相关会议通知、技术资料、行业报告等钓鱼诱饵文件。受害用户在运行诱饵文件后，攻击者会根据目标价值决定是否保持长期控制权或横向移动。被该组织长期驻留的机器会被定期窃取重要文件。 各位专家同事： 请查阅2025年5月9日会议的邀请函。请于4月30日12:00前将参会回执发至联系人。 期待您的出席。 诚挚的， 附件：关于邀请参加金砖国家 研讨会的函参会回执 # 中国 学会 # 美国关税政策形势评估、走向及对策圆桌会议邀请函 尊敬的 老师： 近期，美国以各种借口宣布对包括中国在内的所有贸易伙伴滥施关税，严重侵犯各国正当权益，严重违反世界贸易组织规则，严重损害以规则为基础的多边贸易体制，严重冲击全球经济秩序稳定，中国政府对此强烈遣责，坚决反对。 美国有关做法违背基本经济规律和市场原则，罔顾多边贸易谈判达成的利益平衡结果，无视美国长期从国际贸易中大量获利的事实，将关税作为实施极限施压、谋取私利的武器，这是典型的单边主义、保护主义和经济霸凌行径。美国打着所谓追求“对等”“公平”的旗号搞零和博弈，本质上是追求“美国优先”“美国特殊”，是以关税手段颠覆现有国际经贸秩序，以美国利益凌驾于国际社会公利，以牺牲全世界各国的正当利益服务美国的霸权利益，必然遭到国际社会普遍反对。 为了应对这种情况，中国国际经济关系学会美国关税政策形势评估、走向及对策圆桌会议拟于2025年4月25日在 图 $①$ 2025年，APT-C-00(海莲花)组织将我国国际关系、海事研究、经济贸易相关的科研及教育工作者作为主要攻击目标，制作和投递与之相关会议通知、技术资料、行业报告等钓鱼诱饵文件。受害用户在运行诱饵文件后，攻击者会根据目标价值决定是否保持长期控制权或横向移动。被该组织长期驻留的机器会被定期窃取重要文件。 各位专家同事： 请查阅2025年5月9日会议的邀请函。请于4月30日12:00前将参会回执发至联系人。 期待您的出席。 诚挚的， 附件：关于邀请参加金砖国家 研讨会的函参会回执 # 中国 学会 # 美国关税政策形势评估、走向及对策圆桌会议邀请函 尊敬的 老师： 近期，美国以各种借口宣布对包括中国在内的所有贸易伙伴滥施关税，严重侵犯各国正当权益，严重违反世界贸易组织规则，严重损害以规则为基础的多边贸易体制，严重冲击全球经济秩序稳定，中国政府对此强烈遣责，坚决反对。 美国有关做法违背基本经济规律和市场原则，罔顾多边贸易谈判达成的利益平衡结果，无视美国长期从国际贸易中大量获利的事实，将关税作为实施极限施压、谋取私利的武器，这是典型的单边主义、保护主义和经济霸凌行径。美国打着所谓追求“对等”“公平”的旗号搞零和博弈，本质上是追求“美国优先”“美国特殊”，是以关税手段颠覆现有国际经贸秩序，以美国利益凌驾于国际社会公利，以牺牲全世界各国的正当利益服务美国的霸权利益，必然遭到国际社会普遍反对。 为了应对这种情况，中国国际经济关系学会美国关税政策形势评估、走向及对策圆桌会议拟于2025年4月25日在 图 $①$ 自2024年APT-C-00(海莲花)组织在GitHub平台发布包含后门的安全工具项目钓鱼后,2025年APT-C-00(海莲花)组织则将目标转向PyPI平台,发布模仿常用模块包名的项目试图感染开发人员。本次投毒最早可追溯至2025年3月,攻击者上传的测试项目包含针对Windows和Linux双平台的后门模块。 近年来随着国家信创战略的深入推进，党政机关及关键行业的信息系统国产化替代加速落地。国产化进程在提升自主可控能力的同时，也吸引了APT-C-00(海莲花)组织的高度关注，针对国产化系统的定向攻击呈现显著上升趋势。 ```javascript public b() { this.a = "大国竞争与全球治理交织下的联合国：机遇、挑战和前景.docx"; this.b = ".report-scheduler-1.0-SNAPSHOT.jar"; this.c = "12"; Random random = new Random(); String str = Paths.get(SystemGetProperty("java.io.tmpdir"), new String[0]).r if (a(this.a, str)) { if (!a(str)) { OptionalPane.showMessageDialog(null, "File is corrupted", "Error", 0); return; } else { OptionalPane.showMessageDialog(null, "File is corrupted", "Error", 0); return; } if (!str = SystemGetProperty("os.name").toLowerCase().contains("linux")) return; str = Paths.get(a(), new String[0]).resolve(this.b).toString() + ".lock"; try { RandomAccessFile randomAccessFile = new RandomAccessFile(str, "rw"); ``` 图 $①$ # 大国竞争与全球治理交织下的联合国：机遇、挑战和前景 【内容提要】在百年变局和新型全球化推动下，国际社会形成大国竞争和全球治理并存和交织的新态势。一方面，联合国在维护国际安全中的权威性和有效性受到质疑和挑战；另一方面，联合国在全球治理中的地位和作用不断上升。如何通过变革，推动大国协调，有效应对全球挑战，是联合国面临的重大课题。 # 一、大国竞争和全球治理的新态势 冷战时期，大国竞争主要体现为东西方对抗和美国苏霸，形成两极格局。无论是朝鲜战争、越南战争、阿富汗战争，还是中东和非洲地区的大量冲突，大国直接卷入或在其代理人之间进行。美苏两个超级大国之间形成政治、经济、军事和意识形态的全方位对抗。尽管冷战时期不同阶段这种对抗的方式有所不同，但强对抗大致构成了战后40多年国际关系的基本内容和特点。另一方面，真正的全球治理尚未形成。尽管成立了联合国及其众多附属机构和专门机构，关税及贸易总协定、世界银行、国际货币基金组织等世界经济组织，但许多国家并没有加入国际组织。国际组织的领导权和主导权也掌握在美西方几个主要大国等大国竞争和全球治理形成。更主要的是，跨国问题还不突出，或尚未成为全球性议题。即使如联合国开展的维和行动，以及推动的四个发展十年战略，从其内容和过程来看也还缺乏治理意义。如果说有治理，也是以西方国家为主的部分国家开展的国际治理，还没有形成“全球”的治理。可见，冷战时期的大国竞争和全球治理表现为“强对抗、弱治理”的态势。 冷战结束后，随着苏联解体和东欧剧变，东西方之间的对抗消退，大国竞争转变为大国协调。大国之间的力量对比则表现为美国独大的单极格局。尽管俄罗斯未能被融入到西方体系，但与美西方国家的关系总体上处于比较协调状态。中美之间出现过象台海危机、撞机、使馆被炸等突发事件，但两国较好地进行了管控。随着“911”事件的发生和中国加入世界贸易组织，中美关系特别是在经贸和人文交流领域取得巨大进展。大国协调为联合国发挥更大作用和开展全球治理提供了有利的条件和环境。联合国维和行动转向国内冲突解决和冲突后重建，千年发展目标成为联合国会员国共同努力的方向，人权和国际法治得到更多的重视。这些进展都具有显著的治理意义。2015年，《巴黎协定》的签订和2030年可持续发展目标的提出，标志着全球治理进入一个“黄金时期”。全球性和地区性国际组织非常活跃，多边主义和国际合作获得前所未有的动力和支持。可以说，大国竞争和全球治理出现弱对抗、强治理的态势。 图② # 5、南亚 2025年南亚呈现“政治动荡加剧、经济分化明显、军事对抗升级”的格局，印巴冲突全域化、多国政局洗牌、经济复苏乏力与军备竞赛提速叠加，外部势力深度介入，地区稳定性显著下滑。同时，我国在南亚地区的一带一路相关项目建设，以及能源基础设施的重大工程对区域经贸关系有重大影响，南亚地区APT组织对我国在区域水利能源、驻外机构也极为关注。 2025年南亚方向APT组织攻击表现依旧十分活跃。其结合实时热点话题，针对周边国家持续进行了多种攻击活动。在2025年，360高级威胁研究院披露了一个新的南亚区域背景APT组织，APT-C-76（银环蛇）。该组织先后对我国国内文娱产业、教育领域发起攻击。 # 5.1、APT-C-08(蔓灵花) 2025年，APT-C-08(蔓灵花)组织的整体活动保持活跃，主要围绕我国外交、政府及国际关系实体等展开渗透，不断进行情报窃取攻击。特别是在国际热点事件期间，该组织对我国驻外相关机构的攻击活动明显。尤其2025年7、8月份期间，针对我国中印边境相关地区省市政府机构发起大规模集中攻击活动，以水利能源、工程建设等基础设施建设相关单位为首要目标。 APT-C-08(蔓灵花)组织在常用的攻击手法外，还不断地更新攻击手段，持续扩充自己的武器库。我们在2025年公开披露了该组织的新的攻击武器“gmRAT”。 自2024年APT-C-00(海莲花)组织在GitHub平台发布包含后门的安全工具项目钓鱼后,2025年APT-C-00(海莲花)组织则将目标转向PyPI平台,发布模仿常用模块包名的项目试图感染开发人员。本次投毒最早可追溯至2025年3月,攻击者上传的测试项目包含针对Windows和Linux双平台的后门模块。 近年来随着国家信创战略的深入推进，党政机关及关键行业的信息系统国产化替代加速落地。国产化进程在提升自主可控能力的同时，也吸引了APT-C-00(海莲花)组织的高度关注，针对国产化系统的定向攻击呈现显著上升趋势。 ```javascript public b() { this.a = "大国竞争与全球治理交织下的联合国：机遇、挑战和前景.docx"; this.b = ".report-scheduler-1.0-SNAPSHOT.jar"; this.c = "12"; Random random = new Random(); String str = Paths.get(SystemGetProperty("java.io.tmpdir"), new String[0]).r if (a(this.a, str)) { if (!a(str)) { OptionalPane.showMessageDialog(null, "File is corrupted", "Error", 0); return; } else { OptionalPane.showMessageDialog(null, "File is corrupted", "Error", 0); return; } if (!str = SystemGetProperty("os.name").toLowerCase().contains("linux")) return; str = Paths.get(a(), new String[0]).resolve(this.b).toString() + ".lock"; try { RandomAccessFile randomAccessFile = new RandomAccessFile(str, "rw"); ``` 图 $①$ # 大国竞争与全球治理交织下的联合国：机遇、挑战和前景 【内容提要】在百年变局和新型全球化推动下，国际社会形成大国竞争和全球治理并存和交织的新态势。一方面，联合国在维护国际安全中的权威性和有效性受到质疑和挑战；另一方面，联合国在全球治理中的地位和作用不断上升。如何通过变革，推动大国协调，有效应对全球挑战，是联合国面临的重大课题。 # 一、大国竞争和全球治理的新态势 冷战时期，大国竞争主要体现为东西方对抗和美国苏霸，形成两极格局。无论是朝鲜战争、越南战争、阿富汗战争，还是中东和非洲地区的大量冲突，大国直接卷入或在其代理人之间进行。美苏两个超级大国之间形成政治、经济、军事和意识形态的全方位对抗。尽管冷战时期不同阶段这种对抗的方式有所不同，但强对抗大致构成了战后40多年国际关系的基本内容和特点。另一方面，真正的全球治理尚未形成。尽管成立了联合国及其众多附属机构和专门机构，关税及贸易总协定、世界银行、国际货币基金组织等世界经济组织，但许多国家并没有加入国际组织。国际组织的领导权和主导权也掌握在美西方几个主要大国等大国竞争和全球治理形成。更主要的是，跨国问题还不突出，或尚未成为全球性议题。即使如联合国开展的维和行动，以及推动的四个发展十年战略，从其内容和过程来看也还缺乏治理意义。如果说有治理，也是以西方国家为主的部分国家开展的国际治理，还没有形成“全球”的治理。可见，冷战时期的大国竞争和全球治理表现为“强对抗、弱治理”的态势。 冷战结束后，随着苏联解体和东欧剧变，东西方之间的对抗消退，大国竞争转变为大国协调。大国之间的力量对比则表现为美国独大的单极格局。尽管俄罗斯未能被融入到西方体系，但与美西方国家的关系总体上处于比较协调状态。中美之间出现过象台海危机、撞机、使馆被炸等突发事件，但两国较好地进行了管控。随着“911”事件的发生和中国加入世界贸易组织，中美关系特别是在经贸和人文交流领域取得巨大进展。大国协调为联合国发挥更大作用和开展全球治理提供了有利的条件和环境。联合国维和行动转向国内冲突解决和冲突后重建，千年发展目标成为联合国会员国共同努力的方向，人权和国际法治得到更多的重视。这些进展都具有显著的治理意义。2015年，《巴黎协定》的签订和2030年可持续发展目标的提出，标志着全球治理进入一个“黄金时期”。全球性和地区性国际组织非常活跃，多边主义和国际合作获得前所未有的动力和支持。可以说，大国竞争和全球治理出现弱对抗、强治理的态势。 图 $②$ # 5、南亚 2025年南亚呈现“政治动荡加剧、经济分化明显、军事对抗升级”的格局，印巴冲突全域化、多国政局洗牌、经济复苏乏力与军备竞赛提速叠加，外部势力深度介入，地区稳定性显著下滑。同时，我国在南亚地区的一带一路相关项目建设，以及能源基础设施的重大工程对区域经贸关系有重大影响，南亚地区APT组织对我国在区域水利能源、驻外机构也极为关注。 2025年南亚方向APT组织攻击表现依旧十分活跃。其结合实时热点话题，针对周边国家持续进行了多种攻击活动。在2025年，360高级威胁研究院披露了一个新的南亚区域背景APT组织，APT-C-76（银环蛇）。该组织先后对我国国内文娱产业、教育领域发起攻击。 # 5.1、APT-C-08(蔓灵花) 2025年，APT-C-08(蔓灵花)组织的整体活动保持活跃，主要围绕我国外交、政府及国际关系实体等展开渗透，不断进行情报窃取攻击。特别是在国际热点事件期间，该组织对我国驻外相关机构的攻击活动明显。尤其2025年7、8月份期间，针对我国中印边境相关地区省市政府机构发起大规模集中攻击活动，以水利能源、工程建设等基础设施建设相关单位为首要目标。 APT-C-08(蔓灵花)组织在常用的攻击手法外，还不断地更新攻击手段，持续扩充自己的武器库。我们在2025年公开披露了该组织的新的攻击武器“gmRAT”。 2025年还首次发现APT-C-08(蔓灵花)组织利用WinRAR漏洞CVE-2025-6218 (WinRAR目录穿越漏洞)实施网络攻击。通过构造特殊的文件路径,将恶意文件Normal.dotm释放到Office模板目录下,当用户打开任意word文档时,便会加载“Normal.dotm”文件,从而触发恶意代码。 图 $①$ 88D0h: 80 03 00 3D 20 2F 2E 2E 20 2F 2E 2E 20 2F 2E 2E e...= /... /... /... 88E0h: 20 2F 41 70 70 44 61 74 61 2F 52 6F 61 6D 69 6E /AppData/Roaming 88F0h: 67 2F 4D 69 63 72 6F 73 6F 66 74 2F 54 65 6D 70 g/Microsoft/Temp 8900h: 6C 61 74 65 73 2F 4E 6F 72 6D 61 6C 2E 64 6F 74 lates/Normal.dot 8910h: 6D 0A 03 02 DE 1B CB 55 DD 18 DC 01 8A 2A BB 41 m...p.EUY.U.S*A 8920h: 30 65 33 54 34 65 45 50 55 04 7E C3 2F A6 5F 80 0e3T4eEPU,-A/;€ 8930h: 48 72 FB 25 F9 EC BF 0F 99 7E 00 35 FE AB 71 3A KrU%ui..-m-.5p=q: 8940h: AA A1 55 5C 1F F0 73 96 03 60 6F 76 03 22 1E 60 a';U\.8s--'ov.' Template Results - RAR.bt Name Value > ubyte Signature[8] > struct RarBlockV5 Block[0] Main block > struct RarBlockV5 Block[1] File block: Document.docx > struct RarBlockV5 Block[2] Service (NTFS streams) block > struct RarBlockV5 Block[3] File block: /... /... /AppData/Roaming/Microsoft/Templates/Normal.dotm > struct RarBlockV5 Block[4] File block: /... /... /AppData/Roaming/Microsoft/Templates/Normal.dotm > struct RarBlockV5 Block[5] Service (Quick open) block > struct RarBlockV5 Block[6] End block 除了上述的攻击手法外，APT-C-08(蔓灵花)组织还会通过伪造应用程序进行网络钓鱼行动。用户点击恶意应用程序之后，该应用可远程下载后续的恶意载荷。这些恶意载荷会利用“计划任务”周期性地回传受影响用户的机器信息，通知远程服务器下发后续攻击组件。 图 $②$ # 5.2、APT-C-09 (摩诃草) APT-C-09(摩诃草)组织在2025年攻击活动频繁,针对我国发起多次钓鱼邮件攻击。其主要攻击方向为高校、科研机构、气象与灾害研究实验室等单位,覆盖了教育、科研、政府等相关单位和工作人员 可持续社会价值全球开放研究计划（简称“SSV开放计划”）由清华大学可持续社会价值研究院发起并主办。SSV开放计划旨在推动全球学术界对可持续社会价值领域的合作与研究，设计面向全球举办（学术研究人员、研究机构及非营利组织），邀请他们提交关于可持续社会价值核心理念及实践应用的研究课题，并负责入选计划的项目开展研究工作。 研究院将重点支持语境具有供给性、交叉性、创新性及开发应用前景的综合性研究；并通过探索可持续社交价值的共创路径，为实际社会问题提供新的解决方案。 2025年度申报即日启动： 一、重点识题 SSV开放计划邀请申请者围绕以下11个重点议题进行研究： 可持续社会价值的基础理念研究 企业社会价值在具体领域的研究 科技向善与数字伦理 人工智能在普惠社会中的应用 # 重载无人机机载探地雷达大深度探测 # 与快速识别 汇理人：雪发，冯，中 2025.8.6 # 汇报提纲 # 附件1： # 2025年“硕博连读”选拔评审成绩 序号 姓名 报考单位 报考专业 综合成绩 评审成绩 最终成绩 排名 评审意见 1 82.95 92.20 89.425 1 通过 2 80.81 92.20 88.783 2 通过 3 77.14 93.40 88.522 3 通过 4 78.43 91.60 87.649 4 通过 5 75.71 89.40 85.293 5 通过 6 66.45 89.80 82.795 6 通过 7 62.15 88.60 80.665 7 通过 8 51.78 88.40 77.414 8 通过 9 59.23 85.20 77.409 9 通过 2025年还首次发现APT-C-08(蔓灵花)组织利用WinRAR漏洞CVE-2025-6218 (WinRAR目录穿越漏洞)实施网络攻击。通过构造特殊的文件路径,将恶意文件Normal.dotm释放到Office模板目录下,当用户打开任意word文档时,便会加载“Normal.dotm”文件,从而触发恶意代码。 图 $①$ 88D0h: 80 03 00 3D 20 2F 2E 2E 20 2F 2E 2E 20 2F 2E 2E e...= /... /... /... 88E0h: 20 2F 41 70 70 44 61 74 61 2F 52 6F 61 6D 69 6E /AppData/Roaming 88F0h: 67 2F 4D 69 63 72 6F 73 6F 66 74 2F 54 65 6D 70 g/Microsoft/Temp 8900h: 6C 61 74 65 73 2F 4E 6F 72 6D 61 6C 2E 64 6F 74 lates/Normal.dot 8910h: 6D 0A 03 02 DE 1B CB 55 DD 18 DC 01 8A 2A BB 41 m...p.EUY.U.S*A 8920h: 30 65 33 54 34 65 45 50 55 04 7E C3 2F A6 5F 80 0e3T4eEPU,-A/;€ 8930h: 48 72 FB 25 F9 EC BF 0F 99 7E 00 35 FE AB 71 3A KrU%ui..-m-.5p=q: 8940h: AA A1 55 5C 1F F0 73 96 03 60 6F 76 03 22 1E 60 a';U\.8s--'ov.' Template Results - RAR.bt Name Value > ubyte Signature[8] > struct RarBlockV5 Block[0] Main block > struct RarBlockV5 Block[1] File block: Document.docx > struct RarBlockV5 Block[2] Service (NTFS streams) block > struct RarBlockV5 Block[3] File block: /... /... /AppData/Roaming/Microsoft/Templates/Normal.dotm > struct RarBlockV5 Block[4] File block: /... /... /AppData/Roaming/Microsoft/Templates/Normal.dotm > struct RarBlockV5 Block[5] Service (Quick open) block > struct RarBlockV5 Block[6] End block 除了上述的攻击手法外，APT-C-08(蔓灵花)组织还会通过伪造应用程序进行网络钓鱼行动。用户点击恶意应用程序之后，该应用可远程下载后续的恶意载荷。这些恶意载荷会利用“计划任务”周期性地回传受影响用户的机器信息，通知远程服务器下发后续攻击组件。 图 $②$ # 5.2、APT-C-09 (摩诃草) APT-C-09(摩诃草)组织在2025年攻击活动频繁,针对我国发起多次钓鱼邮件攻击。其主要攻击方向为高校、科研机构、气象与灾害研究实验室等单位,覆盖了教育、科研、政府等相关单位和工作人员 可持续社会价值全球开放研究计划（简称“SSV开放计划”）由清柴大华学习可持续社会价值研究院发起并主办。SSV开放计划旨在推动全球学术界在可持续社会价值领域的合作与研究。该计划面向全球学术（学术研究人员、研究机构及非营利组织），邀请他们提交关于可持续社会价值观核心理念及实践应用的研究课题，并被入选计划的项目开展研究工作。 研究院将重点大作引领领域具有前沿性、交叉性、创新性及开发应用前景的可行性研究，并通过探索可持续化价值的共创路径，为实际社会问题提供创新解决方案。 2025年度申报师日启动： 一、重点议题 SSV开放计划邀请申请者围绕以下11个重点议题进行研究： 可持续社会价值的基础理念研究 企业社会价值在具体领域的研究 科技向善与数字伦理 人工智能在普惠社会中的应用 # 重载无人机机载探地雷达大深度探测 # 与快速识别 汇理人：雪发，冯，中 2025.8.6 # 汇报提纲 # 附件1： # 2025年“硕博连读”选拔评审成绩 序号 姓名 报考单位 报考专业 综合成绩 评审成绩 最终成绩 排名 评审意见 1 82.95 92.20 89.425 1 通过 2 80.81 92.20 88.783 2 通过 3 77.14 93.40 88.522 3 通过 4 78.43 91.60 87.649 4 通过 5 75.71 89.40 85.293 5 通过 6 66.45 89.80 82.795 6 通过 7 62.15 88.60 80.665 7 通过 8 51.78 88.40 77.414 8 通过 9 59.23 85.20 77.409 9 通过 其钓鱼攻击手法是通过钓鱼邮件下发伪装成PDF的LNK文件,当用户运行文件后会执行内嵌的PS指令下载后续恶意载荷,并创建计划任务来保持感染链稳定。 除上述的攻击手段外, 我们还捕获到一类基于Mythic C2框架的新型载荷。该组织通过钓鱼邮件下发 MSC文档; 当用户打开MSC文档后会远程加载一个html文件; 文件内嵌混淆的JScript代码, JScript脚本执行时会从远程下载诱饵文档, 同时释放恶意dll, 并通过白利用的方式加载Mythic C2框架组件构建的恶意dll。 # 5.3、APT-C-48 (CNC) APT-C-48(CNC)组织在2025年的主要攻击手法为使用“XXX的简历”为话题的钓鱼活动。如果受害者通过移动设备打开相关钓鱼连接,还会提示“设备不支持”等相关提示。 # 设备不支持 抱歉，您使用的设备不支持访问此网站。 请使用Windows设备访问本链接。 图① 用户根据提示使用Windows设备点击钓鱼链接,则会下载钓鱼木马。 图② 该组织在2025年钓鱼攻击活动中的钓鱼链接使用了仿冒国内外知名邮箱、云盘(云)等常见应用的域名，以增加其点击成功率。 其钓鱼攻击手法是通过钓鱼邮件下发伪装成PDF的LNK文件,当用户运行文件后会执行内嵌的PS指令下载后续恶意载荷,并创建计划任务来保持感染链稳定。 除上述的攻击手段外, 我们还捕获到一类基于Mythic C2框架的新型载荷。该组织通过钓鱼邮件下发 MSC文档; 当用户打开MSC文档后会远程加载一个html文件; 文件内嵌混淆的JScript代码, JScript脚本执行时会从远程下载诱饵文档, 同时释放恶意dll, 并通过白利用的方式加载Mythic C2框架组件构建的恶意dll。 # 5.3、APT-C-48 (CNC) APT-C-48(CNC)组织在2025年的主要攻击手法为使用“XXX的简历”为话题的钓鱼活动。如果受害者通过移动设备打开相关钓鱼连接,还会提示“设备不支持”等相关提示。 # 设备不支持 抱歉，您使用的设备不支持访问此网站。 请使用Windows设备访问本链接。 图① 用户根据提示使用Windows设备点击钓鱼链接,则会下载钓鱼木马。 图 $②$ 该组织在2025年钓鱼攻击活动中的钓鱼链接使用了仿冒国内外知名邮箱、云盘(云)等常见应用的域名，以增加其点击成功率。 恶意域名 仿冒的目标应用 cloudauwei[].com 华为云 cloudhauwei[].com 华为云 mailcloud163[].com 163邮箱 coremailcloudl[].com Coremail邮箱 mailcloudl[].com MailCloud邮箱 qq.ernailcloud[].com qq邮箱 # 5.4、APT-C-76（银环蛇） APT-C-76(银环蛇)是2025年360最新披露的具有南亚背景的APT组织。该组织于2024年年末开始针对我国和巴基斯坦等地缘周边国家展开攻击活动，目前呈现高度活跃状态。其主要通过投递鱼叉钓鱼邮件的方式诱导用户自行打开恶意攻击载荷以建立落脚点，对受影响设备进行持续控制与窃密。 依托于360安全大模型,我们发现APT-C-76(银环蛇)组织先后对我国国内文娱产业、教育领域发起攻击。其中对教育领域的攻击使用了WinRAR在野0day漏洞。 目前发现该组织有三种主要攻击手法。三种手法主要的不同之处是攻击初始的攻击载荷投递和加载过程。 第一种攻击手法中, 攻击者通过投递带有伪装为pdf文档的恶意LNK文件、具备ADS流的恶意文件的压缩包作为初始访问阶段攻击载荷以诱导用户执行恶意LNK文件以触发具有ADS流的恶意文件执行。 第二种攻击手法中, 攻击者通过投递带有恶意LNK文件、VBS脚本、诱饵pdf文档以及白加黑组件的压缩包作为初始访问阶段攻击载荷诱导用户打开。 第三种攻击手法中, 攻击者充分表现出对新型攻击技术的快速实战转化能力, 利用披露不久的CVE-2025-8088漏洞构建恶意压缩包作为初始访问阶段攻击载荷, 诱导用户打开并解压该压缩包以触发漏洞利用。 图 $①$ 恶意域名 仿冒的目标应用 cloudauwei[].com 华为云 cloudhauwei[].com 华为云 mailcloud163[].com 163邮箱 coremailcloudl[].com Coremail邮箱 mailcloudl[].com MailCloud邮箱 qq.ernailcloud[].com qq邮箱 # 5.4、APT-C-76（银环蛇） APT-C-76(银环蛇)是2025年360最新披露的具有南亚背景的APT组织。该组织于2024年年末开始针对我国和巴基斯坦等地缘周边国家展开攻击