专题分析 / 黑灰产研究

2018—2025年互联网黑灰产演进:资源、自动化与组织协作

从真实资源混入、工具模块化和跨业务协作梳理黑灰产长期变化。

发布日期
2026年7月13日
研究团队
威胁猎人研究团队
报告年度
2025

基于多年历史材料比较黑灰产结构变化,重点呈现资源、自动化、组织协作与防守能力的对应关系,不传播地下渠道和攻击步骤。

本页已公开经过逐章覆盖核对的可检索网页全文;原始 PDF 可作为版式存档继续保存。

01

作恶资源演进

02

自动化与内容生成

03

团伙关联治理

黑灰产从资源堆叠走向组织化自动化

2018—2025 年的研究材料显示,黑灰产持续围绕“更低成本地获得可信身份、网络环境和业务结果”演进。早期的集中设备与批量资源仍然存在,但更多活动开始混入真实终端、住宅网络和自然内容,并通过自动化放大规模。

本文是跨年度防守性综述。不同年份的监测覆盖和统计方法并不完全一致,因此重点比较结构变化,不把全部绝对数字直接串联。

一、三条长期主线

资源更接近真实用户

手机号、代理网络、邮箱和支付账户不断改变来源与组织方式。识别策略需要从单一黑名单转向账号、设备、网络和行为的关系判断。

工具更易组合

批量控制、环境伪装、内容生成和流程自动化逐渐模块化。攻击者可以替换其中一个环节而保持整体链路运转,因此只封堵单个工具通常不能长期解决问题。

风险跨业务联动

营销滥用、信贷欺诈、账号接管、数据泄露和品牌仿冒会共享基础设施和团伙资源。安全团队需要跨场景复用风险身份和调查证据。

二、防守能力如何对应变化

演进方向旧有局限建议能力
真实资源混入只识别机房、集中设备或固定号段多实体关系、行为序列和历史信誉
自动化增强只限制单接口频率跨账号、跨接口和跨时间窗口异常检测
内容更自然过度依赖文本或图像表面特征来源、上下文、交互和结果一致性
组织协作按单事件关闭团伙画像、基础设施复用和持续追踪
跨区域迁移全球统一静态阈值共同风险模型与地区化校准

三、运营优先级

第一,统一关键风险实体和事件字段;第二,把策略效果与误伤、损失和人工成本共同评估;第三,为高风险活动保留人工调查与证据链;第四,通过授权测试验证策略,而不是用真实客户或生产用户做试验。

关于最新年度变化,可继续阅读 2025 年互联网黑灰产趋势年度报告

研究说明

本文不展示地下渠道、工具、价格或攻击步骤,仅从历史材料中提炼防守趋势。

获取完整报告 / 03

保存原始报告

当前报告通过申请方式获取。提交基本信息后,我们会在一个工作日内与您联系。

申请获取报告