2025年,中国网络安全最值得警惕的变化不是某个新病毒的出现,而是一个组织的性质突变。"银狐"(SilverFox)——最初被定义为专注金融诈骗的犯罪团伙,在一年之内完成了一种罕见的蜕变:从单打独斗的网络黑产组织,变成了兼具网络犯罪和网络间谍双重属性的混合型威胁。
深信服千里目安全中心的追踪数据显示,银狐已经不只是攻击者,而是攻击者的"供应商"。它通过出售恶意软件源代码、出租C2基础设施、提供"恶意软件即服务"(MaaS),搭建了一个去中心化的攻击网络。下游攻击者可能分属完全不同的团伙,但共享同一套技术栈。这意味着归因追踪几乎失效——你无法判断一次攻击到底是独立的网络犯罪,还是有国家背景的APT行动的前哨。银狐把自己做成了一种"威胁基础设施",而不是一个具体对手。这才是真正危险的地方。
钓鱼已告别"低劣模板时代",AI让它变聪明了
深信服的判断很直接:网络钓鱼"已告别了低劣的模板时代"。生成式AI介入之后,攻击者以极低成本产出多语言、多平台、高度定制化的社会工程学陷阱。以前识别钓鱼邮件靠找破绽——拼写错误、格式粗糙、域名可疑。现在AI生成的文本语法完美、语气得体、针对特定收件人精准定制,分辨门槛急剧升高。
战术也在升级。银狐通过微信、钉钉等社交工具,精准锁定财税和政企人员,利用白签名程序伪装合法身份。勒索病毒则在"双重勒索""多重勒索"之后,转向供应链渗透和无文件化攻击——不留下恶意软件文件,靠内存运行就能完成全部破坏。攻击者不再需要一个完整的入侵路径,只要找到供应链上一个防御最弱的环节就可以穿透整个体系。
2025年也是银狐全球化扩张的元年。攻击触角已从中国延伸至南亚、东南亚和北美。行业维度从制造业、电商财务,扩展到医疗系统、关键基础设施和政府税务部门。针对医院的攻击设计尤其精准——医院对数据可用性的容忍度最低,"窃密加勒索"双重打击的成功率也最高。深信服的数据显示,医疗行业在2025年遭遇的勒索攻击频次有显著跃升。
AES-256和Diffie-Hellman,黑产用上了国家级武器
部分银狐变种的载荷使用AES-256算法加密,密钥通过Diffie-Hellman协议动态生成——这套组合过去是国家级APT组织的专属工具,现在黑产作坊也在标准配置中使用。攻击端在技术工具层面已不弱于某些国家级力量。
防御端的升级同样在加速。2025年,钓鱼检测大模型投入实战,云威胁情报网关加速部署,深信服的安全托管服务开始规模化运营。但整体态势仍然令人担忧——当攻击者用AI自动生成攻击载荷、免杀代码、钓鱼内容时,防御者还在大量依赖人工研判和特征库匹配。两者进化的速度不在同一个维度上。这份研究最终的暗示是:下一阶段的网络安全竞争,比的不是更厚的防火墙,而是能不能建立起一套AI对AI的实时对抗体系。这条路不走通,差距只会越拉越大。
来源自:《2025年主流病毒趋势分析报告》
