2025年，中国网络安全最值得警惕的变化不是某个新病毒的出现，而是一个组织的性质突变。"银狐"（SilverFox）——最初被定义为专注金融诈骗的犯罪团伙，在一年之内完成了一种罕见的蜕变：从单打独斗的网络黑产组织，变成了兼具网络犯罪和网络间谍双重属性的混合型威胁。

深信服千里目安全中心的追踪数据显示，银狐已经不只是攻击者，而是攻击者的"供应商"。它通过出售恶意软件源代码、出租C2基础设施、提供"恶意软件即服务"（MaaS），搭建了一个去中心化的攻击网络。下游攻击者可能分属完全不同的团伙，但共享同一套技术栈。这意味着归因追踪几乎失效——你无法判断一次攻击到底是独立的网络犯罪，还是有国家背景的APT行动的前哨。银狐把自己做成了一种"威胁基础设施"，而不是一个具体对手。这才是真正危险的地方。

钓鱼已告别"低劣模板时代"，AI让它变聪明了

深信服的判断很直接：网络钓鱼"已告别了低劣的模板时代"。生成式AI介入之后，攻击者以极低成本产出多语言、多平台、高度定制化的社会工程学陷阱。以前识别钓鱼邮件靠找破绽——拼写错误、格式粗糙、域名可疑。现在AI生成的文本语法完美、语气得体、针对特定收件人精准定制，分辨门槛急剧升高。

战术也在升级。银狐通过微信、钉钉等社交工具，精准锁定财税和政企人员，利用白签名程序伪装合法身份。勒索病毒则在"双重勒索""多重勒索"之后，转向供应链渗透和无文件化攻击——不留下恶意软件文件，靠内存运行就能完成全部破坏。攻击者不再需要一个完整的入侵路径，只要找到供应链上一个防御最弱的环节就可以穿透整个体系。

2025年也是银狐全球化扩张的元年。攻击触角已从中国延伸至南亚、东南亚和北美。行业维度从制造业、电商财务，扩展到医疗系统、关键基础设施和政府税务部门。针对医院的攻击设计尤其精准——医院对数据可用性的容忍度最低，"窃密加勒索"双重打击的成功率也最高。深信服的数据显示，医疗行业在2025年遭遇的勒索攻击频次有显著跃升。

AES-256和Diffie-Hellman，黑产用上了国家级武器

部分银狐变种的载荷使用AES-256算法加密，密钥通过Diffie-Hellman协议动态生成——这套组合过去是国家级APT组织的专属工具，现在黑产作坊也在标准配置中使用。攻击端在技术工具层面已不弱于某些国家级力量。

防御端的升级同样在加速。2025年，钓鱼检测大模型投入实战，云威胁情报网关加速部署，深信服的安全托管服务开始规模化运营。但整体态势仍然令人担忧——当攻击者用AI自动生成攻击载荷、免杀代码、钓鱼内容时，防御者还在大量依赖人工研判和特征库匹配。两者进化的速度不在同一个维度上。这份研究最终的暗示是：下一阶段的网络安全竞争，比的不是更厚的防火墙，而是能不能建立起一套AI对AI的实时对抗体系。这条路不走通，差距只会越拉越大。

来源自：《2025年主流病毒趋势分析报告》