2024年，全球APT組織通過技術躍遷、組織升級等不斷演化和擴張，已將攻擊的魔爪伸向影響更廣泛、更具破壞性的領域。

高級持續性威脅（APT）正在經歷新一輪技術躍遷，攻防對抗再度升級。從利用0day漏洞滲透政府系統，到通過供應鏈投毒控制關鍵基礎設施，再到結合生成式AI實施精準釣魚，攻擊者的手段不斷迭代。同時，地緣政治沖突的加劇使得APT攻擊成為國家間博弈的重要軟武器，以經濟為目的的定向勒索攻擊也逐步侵犯新的行業和地區。

在用AI重塑安全的路上，深信服安全GPT直擊用戶最關心的「高威脅、高影響、高價值」場景，從依賴規則升級為基于攻擊意圖理解能力的威脅檢測模式，具備對未知攻擊的意圖理解、異常判定、混淆還原能力，在Web流量檢測和釣魚郵件檢測上效果都遠超傳統方案。

深信服千里目安全技術中心基于對2024年全球APT組織動向的持續洞察及事件響應溯源，深入剖析APT攻擊的技術演進、典型案例及防御策略，編寫成《2024年APT洞察報告》，揭示網絡空間暗戰的最新攻防對抗邏輯。

橫觀APT 0day漏洞的“攻擊版圖”演化

1、操作系統與瀏覽器仍是主戰場

2024全年，操作系統和瀏覽器依然是攻擊者的首選目標，監測到全球APT組織使用的31個在野0day漏洞中，Microsoft、Google存在21個，因操作系統和瀏覽器使用廣泛且攻擊成本低，攻擊者利用其特性進行高頻“流水線攻擊”。

2、國產軟件成為APT攻擊新目標

2024年，國產軟件漏洞首次被Project Zero收錄，這一變化折射出我國軟件生態在快速發展中面臨的安全威脅。例如，APT-C-60組織利用某國產辦公軟件的任意代碼執行漏洞（CVE-2024-7262）開展高級滲透并竊取敏感數據。

3、供應鏈攻擊成為新的軟肋

攻擊者通過第三方組件投毒進行供應鏈攻擊，滲透企業環境，污染鏈條極難追溯。如2024年，Lazarus組織利用Chrome瀏覽器JavaScript引擎V8中的兩個0day漏洞，對全球加密貨幣參與者和投資者發起惡意攻擊以謀取經濟利益。

縱觀APT "全流程作戰"的攻擊技術狂飆

APT組織的攻擊技巧不斷推陳出新、迭代升級，涵蓋初始打點、執行/持久化、防御規避、收集/竊取等多個階段。

• 初始打點階段，新型釣魚手法花樣頻出，開源軟件供應鏈投毒頻發，AI也加速了0day漏洞的利用。例如，海蓮花、Bitter等APT組織使用MSC文件對科研人員開展釣魚攻擊，可天然繞過傳統殺軟檢測。海蓮花組織則通過偽造GitHub安全工具，利用開發人員的信任對其實施定向攻擊。
• 執行/持久化階段，Rootkit等內核級對抗進化升級。攻擊者逐步實現了對系統內核的深度掌控。例如，2024年，SkidMap組織的Rootkit攻擊技術進化，可持久化控制目標系統且致盲傳統安全軟件；首個專門針對Linux系統的UEFI Bootkit（命名為Bootkitty）也首度現世。
• 防御規避階段，對抗EDR并致盲/關閉/卸載的事件和工具不斷曝光。攻擊者對 EDR（端點檢測與響應）等安全軟件的關注度持續上升，涉及與安全軟件正面抗衡并成功關閉或禁用安全軟件的攻擊事件顯著增加。
• 收集/竊取階段，竊密組件迭代迅速。為了避免惡意軟件被一網打盡，APT組織的竊密組件通常與遠控木馬分開投遞。如SideWinder組織在2024年對后滲透組件進行了大規模更新，使用自研的“StealerBot”后滲透工具包，實施針對中東和非洲政府機關、關鍵基礎設施單位的攻擊活動，極大地增強了攻擊的隱蔽性和靈活性。

攻擊升維 GenAI重塑APT攻防格局

生成式AI技術的迅速發展，極大地降低了APT攻擊的門檻，提升了攻擊的隱蔽性和成功率。攻擊者借助AI可以快速生成復雜攻擊鏈路、優化payload制作、編寫免殺代碼，并通過深度偽造技術實施社會工程學攻擊。

例如，利用AI批量生產釣魚話術，攻擊者向韓國某高校教授投遞的「學術會議邀請函」均由ChatGPT輸出，行文風格、引用文獻與本人研究內容高度相似。Lazarus組織利用AI生成NFT坦克游戲頁面，吸引加密貨幣玩家，進而竊取其私鑰。攻擊者利用AI工具快速分析，僅22分鐘就將新披露的0day漏洞轉化為攻擊工具，給防御方的窗口期大幅縮短。

在2025年，生成式AI的潛力和用途必將在攻防對抗中持續呈指數級增長。AI本身作為工具，關鍵在于其被使用的方式和目的。確保防守方比攻擊方更有效地利用AI技術，將成為未來網絡攻防中的關鍵。安全廠商需繼續謹慎應對攻擊者利用AI工具加速進行的各類攻擊，并將AI技術應用于自身的業務與運營中，使其成為網絡安全防護的重要力量。

地緣視角 全球博弈擴張加速APT攻擊演變

全球政治和經濟形勢的變化正在加速APT威脅的演變。地緣政治博弈的緊張局勢催生了更多情報竊取型網絡攻擊，如Patchwork組織針對中國、巴基斯坦等國的科研機構，使用LNK文件和開源遠控工具，竊取軍事相關的研究數據。

全球經濟衰退和動蕩則加劇了針對加密貨幣、敏感信息與科技情報的經濟型攻擊活動。2024年，東亞地區的黑客發動了四十余次復雜的攻擊活動，從全球加密貨幣平臺盜走了價值13億美元的資產，這一數字創下了年度新高。

這些現象昭示著，網絡黑產犯罪活動與APT組織的技術界限逐漸模糊。據統計，每三起網絡攻擊中就有一起是勒索軟件攻擊，且攻擊手法和技巧已與常規APT組織幾乎無異，然而許多企業和組織的安全建設仍難以應對這種高水平的網絡攻擊威脅。APT攻擊的防御與溯源挑戰也從政府等關鍵行業延展到更多與經濟、科技和民生發展相關的行業。

防御視角 構建主動防御“安全防線”化危機為轉機

技術的進步既為攻擊者提供了新的工具，也為防御者帶來了新的機遇。面對不斷演變的威脅，企業和組織需構建“技術+管理+人員”的全面防御體系，同時充分利用AI技術來提升防御效能。

在用AI重塑安全的路上，深信服安全GPT直擊用戶最關心的「高威脅、高影響、高價值」場景，從依賴規則升級為基于攻擊意圖理解能力的威脅檢測模式，具備對未知攻擊的意圖理解、異常判定、混淆還原能力，在Web流量檢測和釣魚郵件檢測上效果都遠超傳統方案。

通過3000萬黑樣本與2000萬白樣本的混合樣本測試驗證，對比傳統引擎，安全GPT針對Web流量的威脅檢出率從45.6%提升至95.7%，誤報率從21.4%下降到4.3%。在3萬高對抗釣魚樣本測試中，安全GPT檢出率達到94.8%，誤報率小于0.1%，檢測準確率是傳統防釣魚類產品的4倍+。

未來，伴隨AI等技術的發展，網絡戰場的攻防對抗將更為激烈。防御方只有不斷提升主動防御能力，筑牢數字時代的“安全防線”，方能化危機為轉機，維護網絡空間的安全與穩定。