文章总结： 安天发布2025版威胁通缉令，将年度威胁分为四类：梅花指木马，游蛇团伙与XLoader活跃且AI介入攻防；方块指勒索攻击，QiLin与Clop利用零日漏洞高发，生态呈碎片化重组；红桃指漏洞利用，数量激增且AI降低武器化门槛；黑桃指APT攻击，美朝俄及周边组织针对关键设施定向渗透。大小王分别为欺诈即服务与APT。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞预警,安全大事件

安天2025“威胁通缉令”出炉！这些病毒值得关注

安天集团

2026年2月27日 17:51 北京

点击上方”蓝字”

关注我们吧！

每年例行发布“威胁通缉令”是安天的一项安全知识科普教育活动，2025版“威胁通缉令”已在计算机病毒百科网站发布（查看链接https://www.virusview.net/virusWantedOrder）。后续我们将逐张揭秘，带你直面网络威胁。

🎴

“威胁通缉令”简介

自2011年起，安天CERT工程师依托年度监测分析统计结果，每年年初对上一年度有代表性的安全威胁进行提炼总结和分类整理，并印刷在一套扑克牌上，就成为了“威胁通缉令”。“红桃♥” “黑桃♠” “方块♦” “梅花♣” 4种花色分别对应上一年影响最大的4类威胁，同时每类威胁按照综合的评估原则，列出13个典型的具体威胁，大小王为上一年度最值得关注的TOP1和TOP2威胁。安天工作者们以威胁的名称、攻击手段、传播方式等特征作为基础，对其进行可视化的设计，从而让人们直观的感受到抽象的“威胁”所带来的威胁，理解安全工作者所带来的价值。

▲2025版“威胁通缉令”

♣

梅花丨特洛伊木马

梅花代表各类特洛伊木马（涵盖窃密、挖矿、加载器等类型），牌号排序反映其在2025年度的活跃程度。本年度需重点警惕的是“游蛇”黑产团伙（别名“银狐”、“谷堕大盗”等）开发的SwimSnake木马，该家族持续保持高活跃度。该团伙利用即时通讯软件（微信、企业微信等）、搜索引擎SEO推广及钓鱼邮件等渠道广泛传播恶意文件，具有变种迭代频繁、免杀手段更新迅速、攻击目标覆盖行业广等特点，持续针对国内用户发起以信息窃取和资金诈骗为目的的攻击活动，对企业和个人安全构成实质性威胁。

XLoader在2025年持续以MaaS（恶意软件即服务）模式活跃，作为Formbook的继承者已演进至v8.0版本，针对Windows和macOS平台实施跨平台信息窃取攻击。该版本采用双层RC4加密、动态密钥构建及Secure-call Trampoline等高级反分析技术，结合NTDLL Hook Evasion对抗EDR检测，同时通过钓鱼邮件嵌入PDF与XLSX文档、利用CVE-2017-11882漏洞及隐写术投递载荷，维持其“加载器+窃密器”双重角色以窃取浏览器凭证、会话Cookie及键盘记录。值得注意的是，2025年安全研究团队开始运用生成式AI（GPT-5）对抗其复杂混淆，成功在数十分钟内解密百余加密函数并溯源64个C2域名，标志着AI技术与高级商业木马间的攻防对抗进入新阶段。

♦

方块丨勒索攻击

方块对应的是勒索攻击，方块牌号的排序是基于本年度勒索攻击事件的活跃度而定。不同的勒索攻击组织采用各种攻击手段，以实现对目标系统环境的初始访问，随后利用勒索软件执行体对特定目标发动勒索攻击。

据不完全统计，2025年有115个不同名称的勒索攻击组织通过Tor网站或Telegram频道等特定信息源发布受害者信息。这些组织发布的受害者信息涉及约7300个来自全球不同国家或地区的组织机构，覆盖多个行业。然而，实际受害者数量可能远超这一数字。因为某些情况下，攻击者可能基于多种原因选择不公开或删除信息，例如在与受害者达成协议后，或受害者支付赎金以换取信息的移除。特别值得关注的是QiLin、Akira和Clop勒索攻击组织，在2025年它们公布的受害者总数约为2300条，这一数字占到了全年勒索事件受害者总数的大约31%。

QiLin（曾用名Agenda）勒索攻击组织被发现于2022年，在2025年呈现爆发式增长，全年声称攻击事件超过1000起，占全球勒索软件攻击的13.6%。该组织采用Rust和Golang开发跨平台勒索载荷，可同时攻击Windows、Linux及VMware ESXi服务器，并通过RaaS（勒索软件即服务）模式运营，其攻击链严重依赖失窃凭证、鱼叉式网络钓鱼及MSP供应链入侵。

Clop（又名Cl0p/CL0P）勒索组织在2025年延续其”零日漏洞驱动的大规模数据勒索”模式，第一季度即成为最活跃攻击者，利用Cleo托管文件传输产品（Harmony、VLTrader、LexiCom）的零日漏洞（CVE-2024-50623、CVE-2024-55956）实施攻击活动，其中逾300家直接源于该活动。作为与TA505关联、自2019年活跃的老牌团伙，Clop已转向纯数据勒索策略——放弃传统加密，专注利用企业级文件传输与ERP系统中的零日漏洞实施供应链打击。

2025年勒索软件生态呈现”碎片化重组”特征，各组织通过Conti代码继承、附属组织迁徙与品牌轮换形成复杂网络，Akira、Play、SafePay、INC及DragonForce均源自Conti代码库。DragonForce与QiLin、Devman存在血缘关系，Devman最初作为二者附属使用DragonForce构建器独立。LockBit在遭受执法打击后，其附属经RansomHub（2025年关闭）大规模流向QiLin与DragonForce，形成”LockBit→RansomHub→QiLin/DragonForce”的迁徙链。Lynx、INC、SafePay构成紧密”三驾马车”，Sinobi被认为Lynx直接重命名。Clop独立于Conti系之外，与TA505关联，专注零日漏洞供应链攻击。Medusa、The GentleMen等则相对独立运营。整体而言，各组织通过持续的品牌轮换与附属成员流动规避执法，形成动态联盟的犯罪生态系统。

♥

红桃丨漏洞利用

红桃对应的是漏洞利用，红桃牌号的排序基于本年度所发现的漏洞及漏洞利用情况。一旦漏洞被发现，攻击者可以针对未修补的目标环境发动攻击。漏洞利用是攻击者将这些漏洞实现武器化的过程，通过漏洞实现初始访问、恶意代码执行等恶意行为。

2025年全球网络安全漏洞态势可谓“量多质重、智能化应用显著”，整体呈现出高频爆发与快速利用并存的复杂格局。据全年度统计数据，2025年全球月均漏洞发现达4000以上，其中12月更出现超过5500个漏洞的峰值。以CVE编号全年数量为例，同比增长了20.2%（8140个）；以漏洞类型为例，全年漏洞主要还是集中在Web侧的传统漏洞类型上，包括XSS、Sql注入、CSRF等，其中数量最多的还是XSS；以影响类型为例，漏洞主要影响集中在代码执行、拒绝服务及权限提升上。

从技术层面看，2025年漏洞形态与利用方式呈现出明显的“智能化”演进趋势。一方面，AI技术被广泛引入漏洞挖掘环节，通过自动化代码分析、模糊测试和机器学习，漏洞发现效率显著提升，推动漏洞数量持续增长；另一方面，AI也开始深度介入漏洞利用阶段，攻击者利用大模型快速理解补丁差异、生成利用思路甚至辅助构造PoC，使漏洞武器化门槛进一步降低。在云原生与供应链场景中，配置缺陷、权限边界设计问题与依赖组件漏洞交织叠加，单个漏洞往往具备跨服务、跨环境扩散的潜在能力，放大了实际攻击影响。

综合来看，2025年网络安全漏洞风险已由“是否存在漏洞”转向“漏洞是否具备现实可利用价值”。在AI技术双向赋能下，漏洞发现、分析与利用速度显著加快，漏洞从披露到被武器化的时间大幅缩短，而防守侧仍以静态评分和周期性修复为主，响应明显滞后。漏洞风险进一步向关键基础设施、云与网络边界、高权限组件及供应链集中。同时，CVE项目在2025年出现停摆风险，也暴露出现有漏洞治理体系的脆弱性。整体来看，漏洞管理正从数量导向转向以威胁情报、攻击行为和资产暴露面为核心的精准处置模式。

♠

黑桃丨APT攻击装备

黑桃对应的是APT攻击装备，黑桃牌号的排序是基于本年度APT攻击组织利用其攻击装备开展攻击活动的活跃度而定，APT攻击装备是实际用于攻击的工具和技术。“黑桃（APT攻击装备）”花色中的各APT组织在2025年展现了不同国家和地区在网络攻击中的复杂性与多样性。

美国NSA背景方程式组织针对iOS移动终端设备的攻击能力再次体现其在高复杂度网络战领域的技术优势。朝鲜背景Kimsuky、拉撒路持续活跃，Kimsuky继续围绕学术与政策研究领域实施钓鱼窃密，拉撒路则通过虚假招聘和跨平台窃密程序重点攻击加密货币生态，韩国背景伪猎者组织借助GitHub等公共平台构建载荷分发链，对东亚政企目标实施隐蔽渗透，三者在情报与经济收益层面各有侧重。

俄罗斯背景奇幻熊、图拉与沙虫在2025年保持较高攻击强度，图拉通过滥用本地ISP篡改无线网络入口的高级技术手段对外国驻俄使馆等高敏感目标实施中间人攻击，沙虫则延续其破坏性传统，对电力系统等关键基础设施投放擦除型恶意程序，攻击行动与现实战争冲突的高度联动。

南亚方向APT活动强度尤为突出，白象、苦象、响尾蛇及CNC组织持续针对中国高校、科研机构及政企单位展开定向攻击，普遍采用LNK钓鱼、ClickOnce技术、开源远控与云端载荷分发等手段，强调长期潜伏与情报积累。

中国台湾地区背景的绿斑组织针对我国航空相关机构实施远控攻击，越南背景海莲花在2025年继续针对我国政府与院校目标发起钓鱼攻击，体现出周边地区APT组织在地缘政治与产业情报驱动下，对我国重点行业与核心机构持续开展高烈度、常态化网络渗透的态势。

🃏

大小王

2025年，我们将小王牌型更换为欺诈即服务（FaaS），“欺诈即服务”（Fraud-as-a-Service, FaaS）是一种网络犯罪商业模式，它将复杂的欺诈技术打包成标准化、可订阅的服务，让毫无技术背景的人也能轻松实施金融诈骗。以一站式服务的形式向低技术门槛从业者提供欺诈能力租赁、售卖与定制，大幅降低网络欺诈实施门槛的新型违法犯罪模式，游蛇（银狐）黑产团伙是该模式在终端恶意程序欺诈领域的典型代表。高级持续性威胁（APT）依然占据“大王”位置。

受限于卡片的数量、更新频率、卡片版面的大小，感兴趣的用户很难深入了解威胁的行为机理、防御方案等信息。对此，我们将“威胁通缉令”上线计算机病毒百科virusview.net，用户在浏览威胁通缉令专题的时候，可以查看关联的威胁词条，进一步了解威胁的详细信息。

往期推荐:

安天 “2024威胁通缉令”发布，看看都有哪些病毒上榜！

安天历年发布的威胁通缉令，今天正式在计算机病毒百科网站上线

手机上的恶意代码知识库——计算机病毒百科服务号上线了

十二年来，我们通缉威胁——病毒通缉令的故事之（一）

计算机病毒分类命名知识百科上线试运行（安天研究院出品）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天集团 《安天2025“威胁通缉令”出炉！这些病毒值得关注》