最重要的是，Mandiant 的《2025年M-Trends》报告展示了攻击者如何快速改进攻击手段以对抗更先进的防御系统。他们从未懈怠。

Mandiant 的年度M-Trends 报告是行业威胁情报的重要来源，其中包含 Mandiant 自身事件调查的统计数据，并融入了谷歌威胁情报小组 (GTIG) 的研究成果。但了解该报告的编制过程至关重要，这样才能最大限度地发挥其价值。

首先，虽然Mandiant是事件调查领域的主要参与者，但与其他主要安全厂商（例如EDR提供商）的遥测数据相比，其所涉及的遥测数据有限。这虽然不会限制 Mandiant 数据的价值，但意味着它们无法被解读为全球统计数据。“目标行业”部分就是一个很好的例子，该部分主要以针对金融行业的攻击为主（占比17.4%）。医疗保健行业仅以 9.3% 的占比位居第五。

这不应被视为全球行业目标的体现。Mandiant对其直接客户存在未量化的偏好——而金融行业比医疗行业更有能力承担Mandiant的服务。该公司决定隐瞒统计数据所依据的事件（或客户）的确切数量，而只倾向于公布调查总时长（“全球事件响应工作超过45万小时”），这加剧了这种偏好的不明之处。

实际上，花在报告研究上的时间相当可观，但却没有显示涉及的事件或调查的数量（如果调查时间很长，则数量可能很少；如果调查很快，则数量可能很大）。

Mandiant Consulting 欧洲、中东和非洲地区董事总经理 Stuart McKenzie 解释了 Mandiant 的逻辑：事件的性质可能会混淆视听。“我们可能会调查一起事件，发现其中有第二个威胁行为者——那么，这究竟是单独的事件，还是仍然是主要事件？我们也可能启动一项调查，发现三四起不同的事件——因此，我们关注的是花费的时间，因为我认为这能最清晰地衡量我们到底做了多少工作。”

只要读者清楚，这些统计数据是 Mandiant 的客户统计数据，而非全球攻击统计数据，就不会降低 Mandiant 统计数据的价值。同时，Mandiant 自身研究人员和谷歌（现称为谷歌威胁情报小组）研究人员的联合威胁情报也进一步丰富了该报告的整体价值。

M-Trends报告重点

初始感染媒介

漏洞利用（33%）连续第五年成为最常见的初始感染媒介（尽管比例低于去年的38%）。有趣的是，今年被盗凭证（16%）已超过电子邮件钓鱼（14%），位居第二。原因很复杂。

“人们对网络钓鱼的抵抗力更强了，操作系统的抵抗力也更强了，安全控制也更有效了，”麦肯齐解释道。但攻击者并不会满足于现状。“随着防御者修补漏洞的能力越来越强，漏洞利用的有效性也越来越低。随着网络钓鱼防御能力的增强，网络钓鱼的吸引力也越来越小。” 攻击者开始转向其他方法，目前看来，他们似乎正在使用窃取的凭证。

部分原因在于信息窃取程序的广泛有效使用。报告警告称：“一些著名的信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含被盗凭证的被盗日志数量正在增加；相比使用钓鱼邮件作为初始感染方式传播恶意软件，查找和使用这些凭证更容易。

麦肯齐解释说：“网络钓鱼事件的减少可能源于改进的安全工具和技术，例如网络标记 (MotW)，这些技术可以阻止恶意软件的部署。” MotW是 Windows 中的一项功能，可以检测并标记来自不受信任来源的文件，并对其进行阻止或标记。

有趣的是，他并不认为人工智能辅助网络钓鱼的出现会改变这一现状。“虽然人工智能可以实现更复杂的网络钓鱼诱饵，但网络钓鱼的主要用途很可能是作为更广泛攻击的一部分进行凭证窃取，而不是直接传播恶意软件。因此，网络钓鱼正在从一种恶意软件传播机制演变为更复杂攻击链中的一个环节，从而为其他攻击方法的出现提供便利。”

这并不意味着网络钓鱼的危险性降低，而只是意味着网络钓鱼正在从最初的感染媒介转变为其他感染媒介的促进者——防御者需要更加注重密码的卫生和轮换，并更有效地使用 MFA 来应对基于凭证的攻击

朝鲜IT工作者

一个新进展是，Mandiant 决定将朝鲜 IT 工作者归类为一个独特的威胁群体：UNC5267。即使这种做法可能不太明显，但其意义却不言而喻。

朝鲜工人之所以被视为一个群体，有两个原因。首先，他们利用“协助者”，这意味着某种形式的外部组织。其次，更重要的是——由于朝鲜的互联网接入受到国家严格控制——如果没有政府的纵容，他们就无法获得国外就业机会。

如果Mandiant的逻辑正确，那么进一步暗示，受政府支持的朝鲜民主主义人民共和国IT员工最终可能会被提升为一个或多个APT组织的成员。然而，与此同时，麦肯齐评论道：“我认为我们在远程办公方面看到的趋势与勒索软件的早期类似。像SamSam这样的组织在美国非常活跃。在欧洲、中东和非洲地区，我们观察到这种情况，并认为‘我们实际上没有这个问题’。”

但随着时间的推移，或许是受到美国执法机构日益增加的压力，这些组织开始寻找新的、或许更容易攻击的目标。勒索软件的激增从美国蔓延至全球。

我认为，朝鲜在美国的远程工作者遭受重击，应该对美国以外的组织有所启发。我们已经看到他们正在向欧洲和世界其他地区扩张。” 最初人们认为，朝鲜的动机是为了赚取外汇来资助朝鲜的武器计划——尽管过去如此，将来也依然如此，但威胁不太可能止步于此。一旦这些“外国代理人”扎根于西方工业界，他们还能窃取知识产权并部署恶意软件。

Mandiant 向欧洲传递的信息是，不要把 UNC5267 贬低为一个纯粹的麻烦。做好准备，更好地检测朝鲜工作人员，因为即使在 UNC 成为 APT 之前，他们也可能构成严重威胁。执法部门无法通过逮捕几个参与者来瓦解这个组织，它也没有可以摧毁的任何基础设施——这个 APT 的持久性将有所不同。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：国家资助成为全球威胁，M-Trends报告指向朝鲜