文章总结： 2025年零点击攻击严峻，利用窗口缩至5天，波及移动端及企业基建。自动化便利功能与AI代理沦为新攻击面。应对之策在于加快补丁更新，实施零信任架构与纵深防御，针对高风险用户启用专项保护，并重新审视自动化流程的安全性以应对不断演变的威胁。 综合评分： 88 文章分类： 恶意软件,漏洞分析,威胁情报,漏洞预警,安全建设

关于现代恶意软件，2025年教会了我们哪些知识？

原创

铸盾安全

河南等级保护测评

2025年12月28日 00:00 河南

2025 年是网络安全发展的一个关键时刻，零点击攻击技术取得了显著进步，极大地挑战了我们对数字安全的理解。

与需要用户交互的传统攻击（例如点击恶意链接或下载受感染的文件）不同，零点击攻击在暗中运行，在受害者不知情的情况下悄无声息地入侵设备。

今年至少出现了 14 个影响全球数十亿台设备的重大零点击漏洞，暴露了一个残酷的现实：攻击面已经从人为错误扩展到我们完全信任的自动化流程。

2025 年零点击攻击的复杂性和规模代表着一种范式转变，便利性变成了漏洞，旨在提供无缝用户体验的无形功能变成了高级持续性威胁的无声入口。

谷歌威胁情报小组记录了2024 年75 个被积极利用的零日漏洞，随着攻击者转向企业基础设施，这一趋势在 2025 年加速发展。

仅在 2025 年上半年，就有超过 21,500 起 CVE 事件被新披露，比上一年增长了 18%。

更令人担忧的是，“利用漏洞的时间”窗口在 2024 年平均缩短至仅 5 天，而往年为 32 天，这使得传统的每月补丁周期变得危险地过时了。

这种加速反映了国家行为体、商业监控供应商 (CSV) 和精英勒索软件组织部署的复杂自动化管道，他们已经将利用过程工业化。

零点击漏洞曾经是网络间谍活动高层的专属手段，如今已成为各种威胁的首选武器。

移动平台遭受攻击

苹果的生态系统一直被认为是安全的堡垒，但在 2025 年却面临着持续不断的攻击。8月份披露的CVE-2025-43300漏洞揭示了 ImageIO 框架中一个严重的越界写入漏洞，该漏洞会影响 iOS、iPadOS 和 macOS。

该漏洞使得用户可以通过即时通讯应用发送恶意 DNG 图像，从而实现零点击远程代码执行，完全不需要用户交互。

当与CVE-2025-55177（WhatsApp 的一个漏洞，涉及链接设备同步消息的授权不完整）结合使用时，该漏洞变得尤为危险。

这些攻击手段共同构成了一条破坏性极强的零点击攻击链，目标是欧洲和中东的记者和民间社会人士。

WhatsApp 证实，有不到 200 名用户成为复杂间谍软件攻击的目标，受害者包括人权捍卫者和媒体专业人士。

Paragon Solutions 的 Graphite 间谍软件利用了CVE-2025-43200，这是 iOS 中的一个逻辑缺陷，允许通过 iCloud Links 分享的恶意照片或视频触发远程代码执行，而无需用户交互。

公民实验室的取证分析高度确信，欧洲记者在使用 iOS 18.2.1 时遭到入侵，而 iOS 18.2.1 在感染发生时是一个完全更新的系统。

苹果公司在 iOS 18.3.1 中修复了该漏洞，但直到 2025 年 6 月才向公众披露，这凸显了现代网络战中猫捉老鼠般的动态。

三星Galaxy设备也未能幸免。CVE -2025-21042漏洞在三星于2025年4月发布补丁前被利用，作为零日漏洞传播LANDFALL间谍软件，该软件通过WhatsApp发送恶意DNG图像文件。

这款商用级安卓间谍软件针对旗舰设备，包括 Galaxy S22-S24 系列，具备全面的监控功能，包括通话录音、位置跟踪和信息窃取，所有这些都无需用户知晓。

NICKNAME 漏洞由iVerify 于 2025 年 6 月发现，该漏洞暴露了iOS 图像处理程序中的释放后使用内存损坏缺陷。

这种零点击漏洞是由通过 iMessage 快速发送的昵称更新触发的，虽然在崩溃日志中出现的频率不到 0.001%，但却对包括美国和欧盟的政治人物、记者和人工智能公司高管在内的知名人士造成了不成比例的影响。

虽然苹果公司在 iOS 18.3 中修复了该漏洞，但取证证据表明，有人积极利用该漏洞攻击与中国共产党利益相悖的活动相关的个人。

虽然移动平台占据了新闻头条，但企业基础设施却成为了攻击者的首选目标。

CVE-2025-21298是一个 Windows OLE 漏洞，CVSS 评分为 9.8，它允许通过在 Microsoft Outlook 中精心构造的 RTF 文档执行零点击远程代码。

当受害者打开甚至预览恶意电子邮件时，该漏洞会自动触发，从而授予攻击者完整的系统权限。

微软的人工智能生态系统也未能幸免。CVE-2025-32711，又称EchoLeak，是首个针对人工智能代理的零点击漏洞。

该严重漏洞（CVSS 9.3）是在 Microsoft 365 Copilot 中发现的，攻击者只需发送一封精心构造的电子邮件，即可窃取敏感的组织数据，而无需用户点击任何按钮。

该漏洞利用了 Copilot 的检索增强生成引擎如何将不受信任的外部输入与特权内部数据混合，从而通过嵌入式图像引用创建自动数据泄露途径。

OpenAI 的 ChatGPT 深度研究代理成为了ShadowLeak 漏洞的受害者，该漏洞是一种无需点击即可利用的服务器端漏洞，能够悄无声息地窃取 Gmail 数据。

当连接到 Gmail 并浏览网页时，一封包含隐藏提示注入命令的恶意电子邮件可能会触发 AI 代理自主地从 OpenAI 的云基础设施中直接窃取敏感的收件箱信息，而不会留下任何网络痕迹供企业防御系统检测到。

蠕虫网络协议

苹果的 AirPlay 协议存在一系列共 17 个漏洞，统称为AirBorne。其中最危险的漏洞组合是 CVE-2025-24252 和 CVE-2025-24206，它允许攻击者在连接到同一网络的 macOS 设备上实现零点击远程代码执行。

这些缺陷之所以特别具有威胁性，是因为它们具有蠕虫效应：恶意代码无需任何人为干预即可从一台设备自主传播到另一台设备。

CVE-2025-24132将此威胁扩展到使用 AirPlay SDK 的第三方设备，包括智能音箱和 CarPlay 系统。

React2Shell漏洞（CVE-2025-55182）获得了完美的 CVSS 评分 10.0，表明 React Server Components 和 Next.js 中存在严重的未经身份验证的远程代码执行漏洞。

该不安全的反序列化漏洞影响 React 版本 19.x 和 Next.js 版本 15.x/16.x，攻击者可以通过单个恶意 HTTP 请求执行任意代码，从而危及不同组织中的数百台机器。

2025 年，商业监控供应商扮演了扩散引擎的角色，降低了获得复杂零点击功能的门槛。

NSO 集团的 Pegasus 间谍软件不断发展，采用零点击方法，但其运营者面临法律后果，包括 WhatsApp 对其处以 1.67 亿美元的罚款。

Paragon 的 Graphite 平台表明，多家商业供应商现在拥有 iPhone 零点击攻击能力，从根本上改变了高价值目标的威胁形势。

主要经验教训

2025 年给我们带来了严峻的教训。首先，零点击攻击不再是理论上的，而是实实在在的、不断演变的威胁，它们精准地针对特定个人和组织。

其次，补丁更新速度至关重要：五天的漏洞利用窗口要求自动、立即更新机制。

第三，纵深防御策略仍然至关重要，因为仅靠外围防御无法阻止零点击渗透。

组织必须采用基于风险的补丁程序，优先处理正在被积极利用的漏洞，实施 限制横向移动的零信任架构 ，部署行为分析来检测入侵后的活动，并为高风险用户启用平台特定的保护措施，例如 iOS 锁定模式。

2025 年即将结束，传递的信息很明确：零点击攻击已经从精英间谍工具转变为主流攻击手段。

为我们的数字生活提供便利的功能，例如自动消息解析、无缝协议处理和智能 AI 代理，都变成了双刃剑。

要应对这种新现实，需要从根本上重新思考安全，不断验证信任，并将每个自动化流程视为潜在的攻击途径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《关于现代恶意软件，2025年教会了我们哪些知识？》