2026-01-20 01:29:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文基于十年间千余份报告分析APT威胁演变，指出美国为主要攻击目标，Lazarus组织最活跃，恶意文档与鱼叉邮件是主流手段。零日漏洞使用率约13.5%且呈下降趋势，Windows和Office是主要攻击面。政府国防行业受创最深，研究强调补丁管理重要性及APT与地缘政治的关联。 综合评分： 85 文章分类： 威胁情报,漏洞分析

cover_image

高级持续性威胁十年嬗变

原创

Avenger Avenger

威胁棱镜

2026年1月19日 09:00 北京

工作来源

CCS 2025

工作准备

已有的 APT 研究往往只盯着某个孤立事件，时间跨度较短。收集整理过去十年（2014-2023）间公开披露的与 603 个攻击组织相关的 1509 份分析报告（共计 24215 页），以及 177 篇新闻内容。利用大模型进行上下文推断，提取相关信息（行业、攻击手段等）。并且使用 IoCParser 进行辅助，基于规则提取CVE、MITRE ATT&CK 技术项与 Yara 规则。

从三个来源收集分析报告，一共 1509 份分析报告。

TOP 15 的分析报告来源如下所示，卡巴斯基断崖式领先，趋势科技、FireEye、Palo Alto、ESET 与赛门铁克均在 50 篇以上。

从三个来源收集攻击组织信息，一共 603 个攻击组织。

工作评估

随机抽取 120 篇分析报告人工检查，与使用 Gemini-1.5-Flash、GPT-4o 与 GPT-4-Turbo 三个大模型进行对比分析。由此可见，GPT-4-Turbo 是最好的（PS：不知道 Gemini-3-Pro 的效果）：

将 GPT-4-Turbo 提取结果与 IoCParser 提取结果进行对比，基于规则比基于大模型提取要明显好一大截。

不是每一篇报告都能提供要提取的各类信息，只有 8.7% 的分析报告带有 Yara 规则、11.6% 的报告带有 MITRE ATT&CK 技术项 ID。

总体来说，美国是主要攻击目标、Lazarus 是最活跃的攻击组织、恶意文档是最常用的初始攻击方式。

1509 篇分析报告共涉及 154 个受害国家，全球超过 80% 的国家都成为了 APT 攻击的受害者。TOP 10 的国家（美国、印度、韩国、日本、俄罗斯、中国、英国、乌克兰、德国、土耳其）共计 650 篇分析报告，占到 43.1%。

最活跃的十个攻击组织共发动了 326 次攻击，占所有攻击活动的 21.6%。Lazarus、APT 28 与 APT 29 是过去十年中最活跃的攻击组织，这些攻击组织的攻击并不是均匀分布的，而是集中在特定时间内完成。

在 13.5% 的攻击活动中，攻击者使用了 0day 漏洞。2018 年以来，0day 漏洞的使用整体呈现下降趋势。可能是满天飞的 1day 漏洞就足够了，也可能是开发 0day 漏洞的成本与复杂性不断上升。

政府和国防行业被攻击最多，其次是商业公司。排名第三的行业每年都在变化，最多的是教育和科研行业。

恶意文档、鱼叉邮件与漏洞利用，是攻击者最常用的攻击手段。

在 175 篇分析报告中提取了 2582 个 MITRE ATT&CK 技术项 ID，去重后 263 个。

在 416 篇分析报告中提取了 1088 个 CVE，去重后 431 个。这些漏洞当然都是很严重的，评分都很高。Windows 与 Office 是攻击者最在乎的攻击目标，能占到 90% 以上。

另外，还在 131 篇分析报告中提取了 419 条 Yara 规则。

约有一半的攻击行动持续了五个月甚至更短，最长的攻击行动持续时间近五年，最短的攻击行动仅仅持续一天。

52.3% 的情况下是真正的 0day，剩下 47.7% 都是 1day 或 nday。平均而言，针对 0day 漏洞的补丁大概要 200 天。

自己攻击自己的情况，例如美国的 Longhorn 入侵美国主机几小时后就脱离环境擦除痕迹了，这可能是无意中攻击的。

工作思考

不打补丁放任漏洞，无异于把自己拱手送给黑客，使得攻击者不需要多么高精尖的手段就可以入侵。

这是公开数据披露统计的是西方视野下的 APT 视角，不能认为统计数据就是板上钉钉的事实。网络空间中的 APT 攻击往往是政治空间的外溢与延伸，例如美国大选和法国大选被入侵、俄罗斯入侵乌克兰电网、Lazarus 在 COVID-19 时攻击制药公司。

A Decade-long&nbsp;Landscape of Advanced Persistent Threats: Longitudinal Analysis&nbsp;and&nbsp;Global Trends

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威胁棱镜 Avenger Avenger《高级持续性威胁十年嬗变》