文章总结： 本文系统介绍了高级持续性威胁(APT)的定义、特征及与传统攻击的区别，列举了多个国际知名APT组织及其背景，分析了2025年全球APT攻击态势，并提出了覆盖物理、网络、主机、应用、数据五层的纵深防御模型。 综合评分： 65 文章分类： 威胁情报,安全建设

高级可持续威胁——“APT”

原创

这小子嘴硬 这小子嘴硬

一己之见安全团队

2026年4月23日 08:50 广西

在小说阅读器读本章

去阅读

一、什么是APT

高级持续性威胁（Advanced Persistent Threat，简称APT），美国国家标准与技术研究院（NIST）给出了一个相当严谨的定义：

一个拥有高水平专业知识和充足资源的对手，通过使用多种不同的攻击载体（如网络、物理和欺骗），创造机会以实现其目标——通常是在组织的IT基础设施中建立并扩展其存在，以持续窃取信息，或削弱、阻碍某任务、项目或组织的关键方面。

这个定义可以拆解成四个关键词：

| 要素 | 含义 | | — | — | | 高级 | 攻击者拥有专业的技术能力和充足的资源，能够使用多种攻击手段 | | 持续性 | 攻击不是一次性的，而是在很长的时间段内反复进行，并能适应防御措施 | | 威胁 | 攻击有明确目的，由组织化、有计划的团队执行，不是个人行为 | | 定向 | 攻击目标明确，不是为了广撒网，而是针对特定组织或系统 |

简单来说：一群技术顶尖的人，花很长时间，用尽办法，去偷或者破坏一个特定目标的东西。

这和传统网络攻击有本质区别：

传统攻击者：像小偷，撬开门锁拿走值钱的东西就跑，停留时间短。

APT攻击者：像间谍，潜入后可能潜伏数月甚至数年，研究环境、等待时机、持续窃取。

主包以前也搞混过，被经理狠狠训了一顿，其实就是有组织有预谋的入侵，跟APT比普通的小黑客基本是恶作剧、作秀为目的的，无所谓怕不怕被人发现，目的也只是为了拿到shell，基本就没有然后了，而APT是为了长期潜伏起来，不断地窃取信息，类似间谍一样的角色。

二、较出名的APT组织

*以下信息来源网络，主包不负责对来源进行验证，请友善围观，请勿将以下内容作为参考

Sandworm（沙虫/APT44）

俄罗斯背景，与俄总参谋部情报总局（GRU）74455部队有关联，以破坏性攻击和擦除软件著称，曾造成乌克兰23万人停电

APT28（Fancy Bear/Pawn Storm/Sofacy/Forest Blizzard）

俄罗斯背景，与GRU 26165部队有关联，活跃超20年，涉嫌2016年美国大选干涉、德国议会攻击等

Lazarus Group（Hidden Cobra/APT-C-26）

朝鲜背景，至少从2009年活跃，制造WannaCry勒索病毒、索尼影业攻击，累计窃取约100亿美元

Equation Group（方程式组织）

美国背景（疑似NSA），卡巴斯基2015年披露，拥有最复杂的攻击装备库，开发了震网（Stuxnet）、火焰（Flame）等武器

APT29（Cozy Bear/The Dukes）

俄罗斯背景（疑似SVR关联），以 stealthy 鱼叉式钓鱼和云服务滥用著称，曾入侵美国民主党全国委员会

Kimsuky（APT-C-55/Mystery Baby）

朝鲜背景，2013年由卡巴斯基首次发现，专注朝鲜半岛政治外交、核问题情报窃取

TA444（APT37/ScarCruft/Reaper）

朝鲜背景，擅长利用云服务（Dropbox、Yandex）作为C2服务器，关注韩国及全球外交机构

OilRig

伊朗背景，自2016年起活跃，主要针对中东地区政府、金融、能源领域，擅长利用合法工具进行隧道通信

DarkHotel

背景不明（被认为与东亚某国有关），至少从2007年活跃，专门针对高端酒店Wi-Fi网络攻击商旅人士

三、APT态势分析

2025年，全球网络安全厂商和机构累计发布APT报告700多篇，涉及APT组织140个，其中42个是首次披露的新组织。这一数据表明，APT生态不仅没有萎缩，反而在持续扩张。

从攻击目标来看，APT活动高度聚焦于地缘政治热点。攻击目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业。其中，政府、教育、科研领域占比超七成。

我国作为APT攻击的重点目标，2025年360累计监测到1300余起针对我国的APT攻击，攻击主要来自南亚、东南亚、东亚及北美，覆盖15个关键行业。

当然了，这些很可能只是冰山浮出水面的部分。在水面之下，一场更为隐蔽、持久的战争，每时每刻都在发生。

APT与日常威胁最大的不同就是——APT已经超出了攻防的范围，成为了不择手段、不守规则、不受约束游离于网络之上的幽灵，几乎已然可以将APT与“战争”画上等号了。

四、纵深防御

防御APT需要构建覆盖攻击链全生命周期的纵深防御体系。

我在学到纵深防御这个词的时候老师给了我一个很好的解释，他说：“纵深防御其实就是多种防御机制层层递进的手段。”有点像多因子认证，但针对性更强，目前主流的一种构思是针对不同攻击类型或手段采取不同的防御方式，而不是将多种防御方式集中在一种防御机制上，说白了，类似：多买几台不同类型的设备来针对不同的攻击，而不是主要依赖一台多功能的安全防护设备。

纵深防御的五层基本模型：

| | |

| 层次 | 名称 | 防御重点 | 典型设备/措施 | | — | — | — | — | | 第一层 | 物理安全 | 防止对硬件设施的物理接触 | 机房门禁、监控、机柜锁 | | 第二层 | 网络安全 | 防止网络层面的攻击和非法访问 | 防火墙、IPS、VPN、网络微分段 | | 第三层 | 主机安全 | 防止服务器和终端被入侵 | EDR、主机防火墙、补丁管理、基线加固 | | 第四层 | 应用安全 | 防止应用层的漏洞被利用 | WAF、运行时防护（RASP）、代码审计 | | 第五层 | 数据安全 | 保护核心数据不被窃取或破坏 | 加密、DLP、备份、脱敏 |

求一键三连

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一己之见安全团队 这小子嘴硬 这小子嘴硬《高级可持续威胁——“APT”》