近期,网络安全公司CrowdStrike发布了2025年亚太地区网络犯罪形势报告《CrowdStrike 2025 年亚太及日本地区网络犯罪形势报告》,该报告基于CrowdStrike精英威胁猎手和情报分析师的一线情报,对这些威胁进行了权威的分析。该报告结合了对攻击者策略、地下经济和盈利趋势的分析,以及CrowdStrike分析师对恶意活动的追踪观察。报告显示,亚太及日本地区的网络犯罪变得更加猖獗、组织化,并且更多地受到人工智能的驱动。
报告称,亚太及日本地区的网络犯罪威胁形势正在迅速演变,其背后既有区域性威胁,也有全球性威胁。从利用中文进行被盗数据和非法服务交易的地下市场,到人工智能勒索软件攻击的日益猖獗,该地区的威胁行为者都在寻求新的方式来扩大和加速其行动。
最令人担忧的趋势之一是Chang’an、FreeCity、Huione担保等中文地下市场的持续存在,这些市场允许匿名交易被盗凭证、钓鱼工具包、恶意软件和洗钱服务。尽管屡遭打击,这些平台仍在明网、暗网和Telegram等加密通讯应用上继续运营。
人工智能现在已成为“大型猎杀”勒索软件攻击活动的核心工具,攻击者能够精准快速地攻击高价值组织。CrowdStrike观察到人工智能增强型社会工程和自动化恶意软件工具激增,其中印度、澳大利亚和日本是受影响最严重的国家之一。
两个新的勒索软件即服务 (RaaS) 组织——KillSec和Funklocker——与超过 120 起事件有关,泄露网站上公布了 763 名受害者的信息。制造业、科技业和金融服务业是攻击的主要目标。
该报告还揭露了一起发生在日本的金融诈骗活动,一些讲中文的犯罪分子劫持了日本的交易账户,实施拉高出货骗局。
攻击者通过抬高成交量较低的中国股票价格,利用被劫持的账户和回收利用的钓鱼基础设施操纵市场。窃取的数据随后在长安网上出售,进一步强化了跨平台犯罪生态系统的作用。网络犯罪服务已日益产业化,专业服务提供商为大规模行动提供支持。
CDNCLOUD提供安全可靠的托管服务;Magical Cat提供钓鱼即服务;Graves International SMS支持全球垃圾邮件活动。这些服务提供商帮助扩大了亚太地区的钓鱼、恶意软件传播和盈利规模。
可能讲中文的威胁行为者也在部署远程访问工具(RAT),包括ChangemeRAT、ElseRAT和WhiteFoxRAT。这些恶意软件通过搜索引擎优化 (SEO) 投毒、恶意广告和伪装成采购订单的网络钓鱼邮件传播,主要针对讲中文和日语的用户。
中文地下市场为网络犯罪活动提供工具和技术
报告称,尽管中国政府实施了互联网限制并严厉打击网络犯罪,但活跃的中文地下市场仍然是亚太地区网络犯罪活动的核心。这一生态系统为讲中文的网络犯罪分子(其中许多人因政府管控而将行动安全放在首位)提供了一个匿名的场所,让他们可以买卖被盗数据、钓鱼工具包、恶意软件和洗钱服务。
包括Chang’an(长安不夜城)、FreeCity(自由城)和Huione(汇旺)担保在内的最知名的中文支付平台,使得网络犯罪分子能够通过明网、暗网和Telegram等渠道匿名作案。汇旺担保以其透明度和信誉度在网络犯罪分子中树立了良好的口碑,在其运营期间促成的交易额估计高达270亿美元。
网络犯罪分子主要针对高价值目标。印度、澳大利亚、日本、台湾和新加坡受影响最为严重;制造业、科技、工业和工程、金融服务以及专业服务业受影响最为严重。2024年1月至2025年4月期间,共有763名亚太地区(APJ)受害者的名字出现在专门泄露勒索软件、数据盗窃和敲诈勒索信息的网站(DLS)上。
CrowdStrike Intelligence观察到,人工智能开发的勒索软件在亚太地区呈上升趋势。勒索软件即服务提供商KillSec和FunkLocker在其数据损失报告(DLS)中,亚太地区受害者数量明显偏高,分别占其受害者总数的35%和32%。在这些受害者中,大多数位于印度(FunkLocker为21%, KillSec为33%)。
网络犯罪服务提供商通过提供网络犯罪分子所需的工具、基础设施和支持,助力亚太地区的网络犯罪活动,使其能够扩大网络钓鱼、恶意软件传播和牟利规模。该报告分析了CDNCLOUD(防弹托管服务)、Graves International SMS(全球短信垃圾邮件服务)和Magical Cat(钓鱼即服务)。
在工具使用方面,CrowdStrike Intelligence已识别出疑似使用远程访问工具 (RAT)攻击中文和日文用户的网络犯罪分子。ChangemeRAT 、ElseRAT和WhiteFoxRAT等工具通过搜索引擎投毒、恶意广告和伪装成采购订单的网络钓鱼攻击等手段进行部署。
CrowdStrike追踪到在亚太地区运营的网络犯罪攻击者
报告称,CrowdStrike追踪到多个针对该地区的网络犯罪攻击者,以及四个活跃在该地区的网络犯罪攻击者,所有这些攻击者均以SPIDER为代号进行追踪。其中包括:
- CHARIOT SPIDER:一个总部位于越南的恶意组织,已入侵微软 IIS 和 Adobe ColdFusion 网络服务器。
- RADIANT SPIDER:一个利用表单劫持技术窃取支付卡数据的中国攻击者
- SINFUL SPIDER:一个利用密码喷洒和漏洞利用攻击面向互联网应用程序的中国攻击者。
- SOLAR SPIDER:利用金融主题的网络钓鱼攻击银行和外汇交易机构。
除了SOLAR SPIDER之外,这些攻击者主要采取机会主义策略,尚未发现他们有组织地针对该地区。虽然CrowdStrike Intelligence尚未发现亚太地区网络犯罪分子明确禁止针对该地区的攻击,但中文市场平台的规则及其对匿名性的强调表明,他们希望避免执法部门的关注。
CrowdStrike提醒,亚太地区的企业应优先防御这些攻击者,重点关注他们的战术、技术和流程(TTP),同时加强身份保护,保障云和SaaS环境安全,并做好应对勒索软件和社会工程威胁的准备。阅读完整的,全面了解该地区面临的网络犯罪威胁,并学习如何加强防御。