威胁行为体利用AI规模化攻击并瞄准自主代理

对手正在利用人工智能（AI）在快速变化的威胁环境中提高其操作效率。他们正在规模化攻击，并专注于支持现代企业生态系统的自主AI代理。

根据CrowdStrike 2025威胁狩猎报告的前线情报（源自精英威胁猎人和分析师），威胁行为体正在采用生成式AI（GenAI）来优化资源受限的操作，使他们能够以前所未有的速度和精度渗透组织。

这种转变使得即使是技能较低的电子犯罪（eCrime）和黑客行动主义团体也能自动化传统上需要高级专业知识的复杂任务，如恶意软件开发、脚本生成和技术问题解决。

AI武器化

例如，与朝鲜有关的对手FAMOUS CHOLLIMA在过去12个月内渗透了超过320家公司，同比增长220%，其方法是在整个招聘和就业生命周期中整合GenAI。

这些行为体利用GenAI伪造有说服力的简历，部署实时深度伪造技术在视频面试中隐藏身份，并使用AI驱动的编码工具秘密执行工作职能。

类似地，像EMBER BEAR和CHARMING KITTEN这样的对手利用GenAI传播亲俄罗斯的叙事，并使用大型语言模型（LLMs）制作复杂的钓鱼诱饵，针对美国和欧盟的实体。

这种武器化还延伸到利用AI软件堆栈中的漏洞，促进未经身份验证的访问、凭据收集、持久性机制和恶意软件部署，包括新兴的GenAI构建家族如Funklocker和SparkCat。

随着企业加速采用AI，攻击面扩大，威胁行为体优先考虑AI集成系统，将传统的内幕威胁重塑为持久、可扩展的活动。

跨域入侵

加剧这些风险的是，对手正在掌握跨域攻击，无缝穿越端点、身份系统、云环境和未管理资产，以规避传统安全控制。

SCATTERED SPIDER的复兴体现了这种熟练程度，操作者采用语音钓鱼（vishing）和帮助台冒充来重置凭据，绕过多因素认证（MFA），并在SaaS和云基础设施中实现横向移动。

在一个记录的事件中，SCATTERED SPIDER从初始访问到勒索软件加密在不到24小时内完成，利用获取的个人可识别信息（PII）冒充员工并通过帮助台验证进行身份验证。

账户接管后，这些行为体转向集成平台进行数据仓储、文档管理和身份访问管理，建立持久性、数据外泄和进一步传播的立足点。

与2024年全年相比，2025年上半年云入侵激增136%，原因是疑似与中国有关的行为体（如GENESIS PANDA和MURKY PANDA）的活动增加了40%，他们利用错误配置和受信任访问进行规避。

GLACIAL PANDA在电信网络中的深度嵌入推动了该领域国家支持间谍活动130%的增长。

CrowdStrike现在跟踪超过265个命名对手和150个活动集群，突显交互式入侵同比增长27%，其中81%是无恶意软件的，依靠手动键盘战术规避传统检测。

电子犯罪占这些入侵的73%，而语音钓鱼量预计到年底将翻倍。

政府部门的交互式入侵总体增加了71%，针对性活动激增185%，强调组织需要将这些见解整合到防御策略中，以有效应对AI增强的威胁。