攻击技术特征 - 94%的配置包含4个或以上业务逻辑攻击元素 其中54%展示高级编排 使用13种以上不同技术[6] - 83%的配置采用明确的API定向攻击技术[6] - 24%的攻击脚本在执行期间切换两种设备类型 71%采用跨平台转换 主要在iOS和Windows之间[6] 攻击目标分布 - 技术/SaaS行业成为主要攻击目标领域 占比27%[6] - 金融服务/政府机构占比16%[6] - 旅游/航空业占比13%[6] - 高价值AI工具占技术目标44% 可能被用于大规模钓鱼内容制作[6] - 企业工具(包括Microsoft 365/OneDrive/Outlook)占比30% 常被勒索软件集团用于获取初始访问权限[6] 攻击者特征 - 51%的配置由三个高级威胁行为者编写：SVBCONFIGSMAKER、t.me/mrcombo1services和@Magic_Ckg[6] - 每个威胁行为者均拥有超过两年操作经验 专注于AI平台认证绕过、移动API利用和微软云服务等不同领域[6] 攻击模式演变 - 凭证填充攻击从基于数量的密码尝试转向复杂的多阶段渗透技术[1] - 现代攻击采用业务逻辑操纵、跨平台设备欺骗和战略性API利用来绕过传统防御[2] - 研究基于100个SilverBullet凭证填充攻击脚本分析 收集自2024年12月至2025年5月威胁行为者的Telegram频道[4]