文章总结： 2025年第三季度工业控制系统威胁态势显示，恶意对象拦截占比降至20.1%的历史低位。区域上非洲风险最高，行业上生物识别位居首位。主要威胁源自互联网脚本与钓鱼，占比升至6.79%；间谍软件与勒索软件增加，挖矿程序减少。南美洲因CVE-2017-11882钓鱼攻击导致恶意文档增加，东亚受恶意脚本影响大。建议企业加强漏洞修补、网络访问控制及员工安全意识培训以应对威胁。 综合评分： 85 文章分类： 威胁情报,网络安全,漏洞预警,IoT安全,安全运营

2025年第三季度工业自动化系统威胁态势

原创

卡巴斯基

卡巴斯基威胁情报

2026年1月14日 15:41 北京

所有威胁相关统计数据

2025年第三季度，工业控制系统（ICS）计算机中遭拦截的恶意对象占比环比下降0.4个百分点，降至20.1%，为观测期内的最低水平。

2022年第三季度至2025年第三季度工业控制系统（ICS）计算机中遭拦截恶意对象的占比变化

从地区分布来看，工业控制系统计算机中遭拦截恶意对象的占比差异显著，北欧地区最低，为9.2%，非洲地区最高，达27.4%。

按遭拦截恶意对象的工业控制系统（ICS）计算机占比划分的区域排名

按遭拦截恶意对象的工业控制系统（ICS）计算机占比划分的区域排名

2025年第三季度遭拦截恶意对象的工业控制系统（ICS）计算机占比变化情况

特定行业

就遭拦截恶意对象的工业控制系统（ICS）计算机占比而言，生物识别行业在本次报告所调研的各行业及运营技术（OT）基础设施中传统上一直位居首位。

按遭拦截恶意对象的工业控制系统（ICS）计算机占比划分的行业与运营技术（OT）基础设施排名

2025年第三季度，在接受调查的七个行业中，有四个行业的遭拦截恶意对象的工业控制系统（ICS）计算机占比出现上升。其中工程与工业控制系统（ICS）集成商行业、制造业的增幅最为显著。

选定行业中遭拦截恶意对象的工业控制系统（ICS）计算机占比情况

检测到的恶意对象多样性

2025年第三季度，卡巴斯基防护解决方案在工业自动化系统中拦截了来自11,356个不同恶意软件家族的各类恶意软件。

各类恶意对象活动在工业控制系统（ICS）计算机上被拦截的比例

2025年第三季度，在工业控制系统（ICS）计算机中，被拦截的列入拒绝名单的互联网资源以及两类挖矿程序（恶意挖矿程序）的占比有所下降。这两类是唯一出现占比下降情况的类别。

主要威胁来源

根据威胁检测与拦截场景的不同，并不总是能够可靠地识别出威胁来源。特定来源的旁证依据可以是所拦截威胁的类型（类别）。       互联网（访问恶意或已遭入侵的互联网资源；通过即时通讯工具传播的恶意内容；云数据存储与处理服务以及内容分发网络（CDN））、电子邮件客户端（网络钓鱼邮件）以及可移动存储设备，仍是组织技术基础设施中计算机面临的主要威胁来源。       2025年第三季度，工业控制系统（ICS）计算机中，拦截到来自各类来源的恶意对象的占比有所下降。

来自不同来源的恶意对象在工业控制系统（ICS）计算机上被拦截的占比

在一季度内，同一台工业控制系统（ICS）计算机可能会遭到来自同一来源的多种恶意软件类别的攻击。在计算每个威胁类别所攻击的计算机占比时，该计算机会被分别计入各威胁类别统计，但在威胁来源统计中仅计一次（我们统计的是受攻击的唯一计算机数量）。此外，并不总是能够准确确定首次感染尝试。因此，从某一来源拦截到各类威胁的工业控制系统计算机总占比，可能会超过该来源本身威胁的占比。

• 2025年第三季度，在工业控制系统计算机上拦截到的来自互联网的主要威胁类别为恶意脚本、网络钓鱼页面以及列入拒绝名单的互联网资源。此类威胁的占比在北欧为4.57%，在非洲为10.31%。  • 在工业控制系统计算机上，从电子邮件客户端拦截到的主要威胁类别为恶意脚本、网络钓鱼页面、间谍软件和恶意文档。在钓鱼邮件中检测到的大多数间谍软件，都是以密码保护的压缩文件形式，或嵌入在办公文档中的多层脚本形式发送的。在工业控制系统计算机上，从电子邮件客户端拦截到威胁的占比，俄罗斯为0.78%，南欧为6.85%。  • 当可移动存储设备连接到工业控制系统计算机时，拦截到的主要威胁类别为蠕虫、病毒和间谍软件。在工业控制系统计算机上，从该来源拦截到威胁的占比，澳大利亚和新西兰为0.05%，非洲为1.43%。 • 通过网络文件夹传播的主要威胁类别为病毒、AutoCAD恶意软件、蠕虫和间谍软件。在工业控制系统计算机上，从该来源拦截到威胁的占比，北欧为0.006%，东亚为0.20%。

威胁类别

在运营技术（OT）网络内拦截到的典型攻击，是多步骤的恶意活动序列，攻击者的每一步后续行动，都是旨在通过利用工业企业（包括技术基础设施）的安全问题来提升权限和（或）获取对其他系统的访问权限。

用于初始感染的恶意对象

2025年第三季度，在工业控制系统（ICS）计算机上拦截到列入拒绝名单的互联网资源的占比下降至4.01%。这是自2022年初以来的季度最低数据。

2022年第三季度至2025年第三季度，工业控制系统（ICS）计算机上拦截到列入拒绝名单的互联网资源的占比

从地区来看，在工业控制系统（ICS）计算机上拦截到列入拒绝名单的互联网资源的占比，澳大利亚和新西兰为2.35%，非洲为4.96%。东南亚和南亚在这一指标上也位居前三。       恶意文档在工业控制系统计算机上被拦截的占比，在2024年底出现下降后，已连续三个季度呈增长态势。2025年第三季度，该占比达到1.98%。

2022年第三季度至2025年第三季度遭拦截恶意文档的工业控制系统（ICS）计算机占比情况

该指标在四个区域出现上升：南美洲、东亚、东南亚以及澳大利亚和新西兰。其中南美洲增幅最大，原因是一场大规模钓鱼攻击活动——攻击者利用微软Office公式编辑器中一个旧漏洞（CVE-2017-11882）的新型利用代码，向受害者计算机植入各类间谍软件。值得注意的是，此次钓鱼攻击活动中，攻击者使用了伪装成商务信函的本地化西班牙语邮件。       2025年第三季度，遭拦截恶意脚本和钓鱼页面的工业控制系统（ICS）计算机占比升至6.79%。就遭拦截的工业控制系统（ICS）计算机占比而言，此类威胁在各类威胁中位居首位。

2022年第三季度至2025年第三季度遭拦截恶意脚本与钓鱼页面的工业控制系统（ICS）计算机占比情况

从区域层面看，遭拦截恶意脚本与钓鱼页面的工业控制系统（ICS）计算机占比差异显著：北欧地区为2.57%，非洲地区则高达9.41%。该指标排名前三的区域依次为非洲、东亚和南美洲。其中东亚地区增幅最为突出（环比激增5.23个百分点），原因在于当地恶意间谍软件脚本通过植入MediaGet等热门种子下载客户端内存的方式进行传播扩散。

后续阶段恶意软件

用于初始感染计算机的恶意对象会向受害者计算机植入后续阶段恶意软件，包括间谍软件、勒索软件及挖矿程序。通常情况下，初始感染恶意软件遭拦截的工业控制系统（ICS）计算机占比越高，后续阶段恶意软件的遭拦截占比也会越高。       2025年第三季度，遭拦截间谍软件与勒索软件的工业控制系统（ICS）计算机占比有所上升，具体数据如下：

• 间谍软件：4.04%（环比增长0.20个百分点）；  • 勒索软件：0.17%（环比增长0.03个百分点）。  两类挖矿程序遭拦截的工业控制系统（ICS）计算机占比均有所下降，具体数据如下：  • Windows可执行文件形式的挖矿程序：0.57%（环比下降0.06个百分点），为2022年第三季度以来的最低水平；  • 网页挖矿程序：0.25%（环比下降0.05个百分点），同样为2022年第三季度以来的最低水平。

自传播恶意软件

自传播恶意软件（蠕虫与病毒）自成一类。蠕虫和受病毒感染的文件最初用于初始感染，但随着僵尸网络功能的演进，它们开始具备后续攻击阶段的特性。       为在工业控制系统（ICS）网络中传播，病毒和蠕虫会依托可移动介质及网络文件夹，以受感染文件的形式扩散，例如包含备份的压缩包、办公文档、盗版游戏及破解版应用程序等。在更罕见且更具危险性的案例中，网页中涉及网络设备配置的文件，以及存储于内部文档管理系统、产品生命周期管理（PLM）系统、资源管理（ERP）系统及其他网络服务中的文件也会遭到感染。       2025年第三季度，遭拦截蠕虫的工业控制系统（ICS）计算机占比升至1.26%（环比增长0.04个百分点），遭拦截病毒的计算机占比则升至1.40%（环比增长0.11个百分点）。

AutoCAD恶意软件

此类恶意软件可通过多种方式传播，因此不属于特定类别。       2025年第三季度，遭拦截AutoCAD恶意软件的工业控制系统（ICS）计算机占比小幅上升至0.30%（环比增长0.01个百分点）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基《2025年第三季度工业自动化系统威胁态势》