360发布2025高级威胁年报：AI推动APT攻击“精准制导”

2025年，世界格局深刻演变，随着传统秩序加速调整与新兴力量持续崛起，地缘博弈显著加剧，多极化进程在曲折中向前推进。与此同时，网络空间安全态势发生根本性转变，已从技术层面对抗升级为国家生存与发展的战略博弈。尤其是随着AI技术在攻防两端的深度应用，“AI对战AI”成为常态，网络攻防已经步入智能驱动、攻防前置、全域联动的新阶段。
近日，360数字安全集团重磅发布《2025全球高级持续性威胁(APT)研究报告》（以下简称“报告”）。  该报告基于360安全智能体蜂群体系赋能，深度融合20余年的一线APT对抗实战经验与全球安全态势数据，系统揭示了2025年全球APT威胁的爆发态势、活跃组织图谱及未来动向，致力推动全行业形成协同预警与联防联控的生态格局，为广大政企机构构建体系化的数字安全能力提供关键指引。

全球APT博弈激化
我国面临多源攻击威胁
报告显示，随着全球大国在军事、政治、经济等领域竞争持续深化，具有“国家级”背景的APT组织活动日益贴合地缘政治博弈的战略走向。尤其在地区军事行动中，APT攻击已成为战争战略战术中的重要一环。
在此背景下，全球APT组织持续高活跃运作。截至2025年底，全球网络安全厂商与相关机构累计发布APT报告700余篇，涉及组织140个，其中属于首次披露的组织达42个，数量较2024年均有所上升。
我国作为全球重要大国及地缘热点区域，历来是地缘周边APT组织攻击的重点区域。在2025年中，360基于自研的安全智能体蜂群体系，累计捕获到1300余起针对我国的APT攻击活动，攻击来源主要集中于南亚、东南亚、东亚及北美等地区，广泛覆盖政府、教育、科研、国防军工、制造业等15个关键行业领域，政府、教育和科研机构成为遭受APT攻击活动最为集中的目标，相关攻击占比超过七成。

其中，中美博弈框架下，北美APT组织以“国家级统筹、定向关键基建、战术隐蔽化”策略实施系统性渗透，典型事件包括年初针对我国智慧能源和数字信息型科技企业核心技术窃密、2月联合美高校以“学术掩护”攻击亚冬会系统及黑龙江关键基础设施致3名TAO特工被通缉、10月国家授时中心重大网络攻击等。
台海方向，APT-C-01（毒云藤）、APT-C-67（乌苏拉）等组织持续开展网络间谍活动，窃取政策、军工、经济敏感数据，APT-C-64（匿名者64）更试图通过攻击数字媒体破坏社会秩序，将网络攻击转化为“台独”分裂的政治工具。
这些攻击呈现高频次、高隐蔽性、强战略意图特点，背后多由境外情报机构主导并获国家级资源支持，意图直指我国核心竞争力和战略安全，已构成威胁国家安全、科技主权与数据安全的核心风险，对综合安全防御体系形成严峻挑战。
AI推动APT“精准制导”
未来博弈趋于数字战争
人工智能等颠覆性技术在驱动社会数字化转型的同时，也正加速网络攻击手法的演进，显著提升了高级威胁的复杂程度与扩散速率，推动全球APT攻击日趋向常态化、多点化、体系化方向发展。基于对当前态势的综合研判，报告梳理出以下几项关键趋势，尤须高度重视：
一是0day漏洞的利用数量较2024年增长明显。
针对我国境内网络设施的0day攻击持续攀升，仅被利用的通用型漏洞就涵盖从压缩工具、邮件系统到安全终端及办公软件等多个关键领域。据统计，全年全球APT攻击活动中影响较大的0day漏洞共计42个，覆盖iOS、Windows、Android、Chrome以及VMware等主流系统平台。

二是开源代码仓库沦为供应链攻击的关键跳板。
APT-C-00（海莲花）的钓鱼攻击、APT-C-26（Lazarus）的虚假面试行动等多起APT攻击均利用开源代码仓库（如GitHub、NPM）展开供应链投毒攻击。此类攻击利用开源仓库的信任机制，通过投毒项目或劫持账户实施隐蔽的供应链感染，其级联效应可穿透开发至生产全链路，其根源在于开源生态的开放性与开发过程中安全审查的不足。
三是AI技术推动APT攻击向“精准制导”升级。
AI技术的应用显著提升了APT组织在社会工程学调研和攻击的效率，使其能够快速构造跨语言、跨文化、跨行业的精准诱饵。2025年中，APT-C-26（Lazarus）、APT-C-47（旺刺）等组织已广泛利用大模型进行深度伪造、生成虚假面试与会议邀请，推动钓鱼攻击从“广撒网”向“精准制导”升级，甚至实现交互式欺骗。这类AI驱动的攻击大幅降低了实施门槛，同时提升了隐蔽性与危害性。
四是网络攻击成为地缘政治工具。
当前地缘政治格局下，网络空间对抗已深度融入国家间战略博弈与军事行动，成为实现政治与军事目标的关键手段。从2025年底委内瑞拉国家石油公司遭勒索软件攻击致业务中断，到2026年初美军行动中伴随的网络断电打击；从俄乌冲突中东欧APT组织对政府、媒体及基础设施的持续破坏与情报窃取，到伊以对抗中网络技术支撑的精准定位与清除行动，均清晰表明：网络攻击已超越技术范畴，其低成本、高隐蔽、强破坏的特性正深刻改变现代战争形态。
五是跨平台攻击武器正加速构建复杂攻击链。
近年来，APT组织日益倾向开发跨平台攻击武器，这表面是追求攻击效率与覆盖面的最大化，实则是针对现代IT环境中多系统混合部署与多终端协同办公特征的战术适配。此类武器已突破单一系统限制，能够覆盖Windows、Linux、macOS乃至IoT与ICS等多种终端，其核心不在于多平台运行，而在于构建跨终端协同的攻击链，对传统单点防御体系构成了严峻挑战。
六是面向海外机构的网络攻击呈现常态化。
近年来，我国驻外使领馆、企业及文化机构已成为国家级APT组织的优先攻击目标，攻击频次与战术复杂性显著上升。在重大外事活动期间，相关攻击尤为活跃，目标直指邮件系统、内部文档及外交决策信息，并已扩展至人员个人设备。攻击动机集中于窃取外交、军事及经贸核心情报，并意图施加外交压力。这一趋势与中美战略博弈加剧、地区冲突外溢以及我国全球治理参与度提升密切相关。
七是国产应用与信创基础设施面临威胁加剧。
随着“2+8+N”体系落地，国产化替代进入关键期，攻击者通过利用国产软件漏洞、实施供应链渗透等手段，对关键领域展开持续精准打击，暴露出信创生态在快速发展期面临的安全机制不成熟、迁移风险集中等系统性挑战。面对这一关乎数字主权的安全博弈，必须坚持技术创新与安全防护并重，筑牢信创体系的安全底座。
当时间快进至2026年，国际形势波诡云谲，地缘博弈的张力持续传导至网络空间，全球网络攻防将步入更为激烈、更为复杂的全新阶段。
随着AI技术与网络攻击的深度绑定，智能体将全面赋能攻击全流程，推动攻击实现自动化、规模化升级，进一步加剧攻防不对称性。
同时，云基础设施与供应链的深度融合，将使攻击面呈现系统性扩张，单点突破即可引发全网级安全风险，而量子计算的逼近更让“囤积式攻击”的潜在威胁持续放大。
在此之外，网络攻击的武器化、工程化趋势将进一步凸显，网络行动已深度融入混合作战体系，“数字战争”的轮廓愈发清晰，国家数字主权、关键基础设施安全面临的挑战将更为严峻。
面对上述更为复杂的网络安全态势，360作为国内唯一兼具数字安全与人工智能双重能力的企业，将持续深耕安全智能体技术研发，进一步迭代优化可投入实战的安全智能体蜂群体系，推动其在高级威胁分析、网络告警研判等核心场景的能力升级，为国家关键基础设施、广大政企单位构筑起全域联动、智能预警、快速响应的体系化安全防线，以实战化安全能力守护数字中国建设，践行数字安全领导者的责任与担当。
目前，360《2025全球⾼级持续性威胁(APT)研究报告》已经发布，欢迎点击【阅读原文】，了解完整报告内容，也可拨打热线400-0309-360，咨询相关问题。
阅读原文

来源   360数字安全

360为广大政企机构构建体系化的数字安全能力提供关键指引。