2025年上半年互联网黑灰产趋势年度总结报告

13前言2025 年上半年，互联网黑灰产攻击持续演化，呈现出更隐蔽、更智能、更产业化的趋势。黑灰产从业人员数量继续增长，攻击资源、技术与作案场景全面升级。整体来看，2025 年上半年黑灰产行业发生的几大事件，也时刻印证了黑灰产市场的核心规律——黑产永不眠，当主要交易平台被打击时，黑产及其作恶需求会迅速迁移至现有或新兴替代渠道。报告内容关键点总结：在攻击资源方面，威胁猎人捕获日均活跃风险 IP 达 1382 万例，环比上升 15.02%，“劫持共用代理”IP 攻击更加猖獗，计费模式更多元；黑卡渠道受监管打击后收缩明显，同时新型“链接接码”方式兴起，提升攻击隐蔽性；洗钱银行卡环比上涨 28.60%，其中涉赌卡占比 70.25%，环比上涨 141%，与赌博平台新型充值方式“挂单充值”相关；洗钱对公账户环比下降 40%，黑产目标逐渐从六大行转向城商行和农信社；商户洗钱数量上涨，行业集中于终端零售业、批发零售业、餐饮业。在攻击技术方面，AI 能力被黑产深度滥用，分钟级 AI 换脸、语音克隆已广泛应用于电诈与认证绕过场景，显著提升攻击效率与欺骗性。与此同时，“拉码工具”等洗钱技术工具流入黑产交易链，可直接将黑钱转入正规平台交易路径中进行清洗。在攻击场景方面，营销欺诈、金融欺诈、电信诈骗、钓鱼仿冒、数据泄露、API 攻击等典型场景依旧高发，攻击模式由单点操作向链式协同演进。整体来看，黑灰产已渗透至各行业业务链条，作案模式不断翻新，威胁持续扩大，防御体系亟需系统性升级。面对不断演进的黑灰产威胁，威胁猎人发布《2025 年上半年互联网黑灰产研究报告》，基于平台捕获的海量风险数据和典型案例分析，从攻击资源、技术演化、重点场景等维度全景呈现当前黑产发展态势，旨在为各行业风控建设提供实战情报支持，助力提升对新型黑产的洞察力与防御力。4目录关于威胁猎人........................................................................................................................2前言........................................................................................................................................ 3一、2025 年上半年黑产攻击资源分析.......................................................................... 61.1 2025 年上半年作恶手机号资源分析.................................................................61.2 2025 年上半年作恶 IP 资源分析.....................................................................161.3 2024 年网络洗钱资源分析...............................................................................211.4 2025 年上半年风险邮箱资源分析.................................................................. 34二、2025 年上半年黑产通用型攻击技术分析........................................................... 362.1 AI 技术助力黑产实现分钟级攻击....................................................................362.2 拉码工具-抓取平台支付订单链接进行洗钱................................................. 39三、2025 年上半年黑产攻击场景分析........................................................................423.1 营销欺诈场景分析............................................................................................. 423.2 金融欺诈场景分析.............................................................................................. 573.3 电信网络诈骗场景分析.....................................................................................673.4 钓鱼仿冒场景分析............................................................................................. 753.5数据泄露场景分析...........................................................................................833.6 API 安全场景分析...............................................................................................935012025 年上半年黑产攻击资源分析6一、2025 年上半年黑产攻击资源分析1.1 2025 年上半年作恶手机号资源分析1.1.1 2025 年上半年新增国内风险手机号总量较 2024 年下半年环比下降 26.16%2025 年上半年，威胁猎人监测发现新增国内风险手机号总量出现下滑趋势，新增数量为 226 万，较 2024 年下半年环比下降 26.16% 。1.1.2 2025 年上半年猫池卡资源变化趋势（1）2025 年上半年国内猫池卡较 2024 年下半年减少 26.16%据威胁猎人情报平台数据显示，2025 年上半年捕获新增猫池卡 226 万例，较 2024 年下半年环比下降 26.16% 。7猫池卡：指黑产 “猫池” 设备中，可被批量操控以实现收发短信等功能的手机 SIM 卡，常被不法分子用于违法活动。经威胁猎人情报专家分析，出现这一趋势的主要原因是：1、1 月及 2 月因农历春节期间黑产交易放缓，下游作恶者活跃度降低导致供应量显著下降，节后恢复稳步上涨趋势；这一现象为黑灰产业的年度周期性规律。2、2025 年上半年猫池卡数量在 5-6 月呈下降趋势，主要原因为上游黑卡卡商供给收缩，2025年 4 月