1、12关于威胁猎人威胁猎人 Threat Hunter(深圳永安在线科技有限公司)成立于 2017 年,以黑灰产情报能力和反欺诈技术为核心,专注于及时、精准、有效的业务欺诈风险的发现和响应。公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API 攻击等风险场景,提供成熟多样的产品与服务,并多次入选 Gartner 技术成熟度曲线报告、IDC 威胁情报领域代表厂商。公司总部在深圳,在北京、上海、重庆、新加坡等地设有分公司,并在深圳和重庆两地建立数字风险应急响应中心(DRRC),为客户提供 7*24 小时全天候数字风险应急响应和及时、优质的服务支持。截至目前,公司已为金融、政务
2、、物流、互联网、科技、零售等行业的 300 多家客户提供安全服务,覆盖 85%头部互联网企业,每年帮助客户减少数十亿资金损失。3目录前言.4一、2025 年互联网黑灰产攻击资源分析.61.1 2025 年作恶手机号资源分析.61.2 2025 年作恶 IP 资源分析.201.3 2025 年网络洗钱资源分析.241.4 2025 年风险邮箱资源分析.33二、2025 年黑产通用型攻击技术分析.362.1 手机端智能体的安全围栏与越权风险.362.2 AI 换脸技术升级:从“单点工具”到“AI 工作流”,黑产攻击成本呈指数级下降.402.3 自动化工具突破“三色炫光”防线,黑产攻击门槛降低.45
3、三、2025 年黑产攻击场景分析.503.1 业务场景分析.503.2 金融信贷欺诈分析.633.3 钓鱼仿冒场景分析.713.4数据泄露场景分析.77写在最后:.874前言过去一年,互联网黑灰产并未因监管趋严而退场,反而在资源结构、作恶方式与技术路径上发生了显著演化。威胁猎人基于对黑产情报体系的持续监测发现:2025 年,黑灰产正在从“堆资源、拼人力”的传统模式,转向更隐蔽、更低成本、更接近真实用户行为的“类真人化、智能化作恶”阶段。报告内容关键点总结:攻击资源层面:拦截卡、劫持代理、真人众包等“更像真人”的资源大规模替代传统猫池卡;相较以往高度可识别的黑资源,这类资源更贴近真实用户与真实设
4、备形态,显著提升了攻击隐蔽性与存活周期,也加大了溯源与治理难度。攻击技术层面:生成式 AI 与智能体技术的爆发,不仅为业务创新带来了机遇,也为黑灰产提供了低门槛、高效率的自动化作恶工具。同时,在非 AI 技术方面,自动化工具突破人脸活体检测“三色炫光”防线,传统的基于颜色匹配的防御策略面临挑战在攻击场景方面,业务欺诈:以高补贴、高流量场景为核心,黑产围绕营销补贴和业务规则进行系统性利用;黑产自动化作恶进入“智能体阶段”。信贷欺诈:职业背债风险舆情量较 2024 年增长 168%,从贷款类型来看,企业贷欺诈风险、信用贷欺诈风险、房贷欺诈风险位列前三;恶意贷款欺诈风险值广东风险值远超其他地区。钓鱼
5、仿冒:从传统的“点链接”进化为“GEO 投毒”认知劫持,通过污染 AI 搜索引用的高权重信息源,诱导主动寻求帮助的用户拨打虚假客服电话。数据泄露:泄露风险高度集中于“泛金融”板块,且黑产已进入利用 AI 模型对“消金申请”等高价值数据进行清洗与质量控制以提升诈骗转化率的新阶段。面对不断演进的黑灰产威胁,威胁猎人发布2025 年互联网黑灰产研究报告,基于平台捕获的海量风险数据和典型案例分析,从攻击资源、技术演化、重点场景等维度全景呈现当前黑产发展态势,旨在为各行业风控建设提供实战情报支持,助力提升对新型黑产的洞察力与防御力。5012025 年黑灰产攻击资源分析6一、2025 年互联网黑灰产攻击资
6、源分析1.1 2025 年作恶手机号资源分析1.1.1 2025 年国内作恶手机号新增数量超 1100 万,较 2024 年提升30.02%据威胁猎人情报平台数据显示,2025 年,国内作恶手机号新增量级超 1100 万,较 2024 年提升30.02%。黑产作恶的主要手机号资源有两种类型:猫池卡:手机卡掌握在黑产手中,并插在特殊设备“猫池”上收发短信验证码,属于传统接码手机号。拦截卡:手机卡插在正常人持有的设备上,设备存在后门导致短信验证码被黑产拦截。据威胁猎人情报平台数据显示,在 2025 年全年新增国内作恶手机号资源中,拦截卡资源占比由2024 年的 39.5%提升至 2025 年的 6