2026年5月17日,Industrial Cyber发布专题报告《国家支持的勒索软件活动引发了对OT关键基础设施运营威胁升级的新担忧》,指出勒索软件正从以经济牟利为主的网络犯罪工具,演变为国家行为体实施地缘政治胁迫的“灰色地带”武器。伊朗、俄罗斯等国通过支持勒索软件集团、共享攻击基础设施与访问权限,在维持可否认性的同时,对敌对国的运营技术(OT)和关键基础设施发动持续性、破坏性攻击。伴随2026年初美以与伊朗在中东的军事冲突升级,相关网络攻击强度同步攀升,勒索软件已从“数据加密勒索”扩展至“物理破坏+数据外泄”双轨模式。
与此同时,AI技术加速了攻击的工业化进程,攻击规模、频率与复杂度显著提升。Dragos数据显示,2025年针对工业组织的勒索软件攻击量同比增长近一倍,攻击者数量增长49%。典型案例如伊朗CyberAv3ngers利用零日漏洞攻击美国水务设施,俄罗斯Sandworm对波兰能源设施实施“硬砖化”破坏等。这些案例揭示出一个共同弱点:多数攻击并未依赖超高级技术手段,而是利用了默认凭证未修改、OT设备直接暴露互联网、已知漏洞长期未修补等基础安全疏漏。
一、核心发现
(一)勒索软件从犯罪工具升级为“灰色地带”战略武器
传统上,勒索攻击被视为以经济利益为导向的网络犯罪。然而,Industrial Cyber报告揭示了一个根本性转变:勒索软件正成为国家行为体实施战略胁迫的工具。专家指出,“勒索软件在这一冲突中变得具有战略意义,因为它已从单纯的犯罪商业模式发展为破坏性工具”。国家行为体与犯罪集团的边界正在模糊——伊朗国家行为体正利用勒索软件集团作为“灰色地带工具”,代理受害者访问权限、利用犯罪基础设施实施攻击,并将胁迫行动伪装为普通敲诈。美国CISA、FBI等机构已确认,伊朗背景的威胁行为体向NoEscape、RansomHouse、ALPHV/BlackCat等勒索软件附属机构提供网络接入。攻击者可结合访问操作、恶意软件、勒索软件、公开泄露数据和OT中断,对被攻击方形成政治、心理、财务和运营四重压力。
(二)国家支持型攻击规模与攻击面急剧扩大
Dragos数据显示,2025年共有3300家工业组织遭受勒索软件攻击,较2024年的1693家几乎翻倍;2025年针对工业组织的勒索软件集团达到119个,同比增长49%。与此同时,国家行为体与黑客活动分子的攻击数量翻倍,且大多数攻击针对关键基础设施。攻击面急剧扩大的背后,OT设备直接暴露于互联网是一个关键因素。报告指出,“最暴露的OT环境包括联网的PLC和HMI、远程访问通道、工程工作站,以及将Level 0/1设备暴露于可路由网络的串行到以太网转换边界”。
(三)国家行为体积极利用AI加速攻击全生命周期
生成式AI正被国家行为体系统性地整合到攻击操作中。Google研究发现,各国威胁行为体正在利用大语言模型加速侦察、漏洞研究、钓鱼攻击、恶意软件开发、权限提升等攻击活动,攻击者还被观察到利用AI研究公开漏洞、规避检测系统、自动化操作任务和攻击政府及企业环境。与此同时,AI正向整个网络犯罪生态渗透,攻击效率从“作坊式”升级为“生产线式”,攻击响应窗口显著压缩。
(四)主要攻击案例暴露共性安全短板
案例一:CyberAv3ngers(伊朗关联组织)攻击美国水务设施。 该组织已从基础涂改演变为部署自定义ICS恶意软件,利用工业控制器认证绕过漏洞,其攻击手段已扩散至超过60个亲伊朗黑客活动组织。
案例二:Sandworm/ELECTRUM攻击波兰能源基础设施。 2025年12月,俄罗斯国家支持攻击者针对波兰多座能源设施发动攻击,利用VPN设备上的默认凭证,破坏了30多个能源和制造站点的工业控制设备。攻击者通过上传损坏的固件文件导致设备“硬砖化”,需物理更换硬件方能恢复。
案例三:Volt Typhoon/Voltzite预置OT基础设施。 CISA和FBI确认,相关APT组织已利用陈旧SOHO路由器构建大型僵尸网络,针对通信、制造、公用事业、运输等关键基础设施领域进行预置攻击,在多家能源公司的SCADA系统关键控制回路中植入恶意代码。
上述案例揭示出一个高度一致的核心问题: 多数攻击并未依赖“零日”漏洞,而是利用了默认凭证未修改、设备暴露在公网、漏洞长期未修补等基础安全疏漏。国家行为体利用的恰是这些“早就敞开的大门”。
(五)我国面临的现实威胁态势
国际勒索软件威胁已对我国关键领域构成现实挑战。2025年全球针对制造业的勒索软件攻击同比增长56%,制造业已超过金融、医疗等行业,成为全球勒索软件攻击最集中的目标。2025—2026年,Qilin勒索软件家族在全球关键基础设施领域持续活跃,多次突破能源、交通、市政等国家级重要系统,造成业务中断、生产停摆,甚至间接威胁物理安全与公共秩序。与此同时,部分针对我国企业的勒索攻击已真实发生——2026年5月,某大型制造企业的维修管理系统被勒索软件锁定,导致生产线停摆48小时,经济损失超过300万美元。
尽管面临严峻外部威胁,我国勒索软件传播态势总体保持相对平稳。360发布的年度报告显示,2025年我国勒索软件传播态势延续了2024年以来的相对平稳状态,未出现单一勒索软件在短期内引发大规模爆发的情况,这得益于安全厂商技术能力的持续提升与协同应对。工控系统安全面临地缘政治冲突与人工智能技术普及的双重冲击,国际冲突中工控系统正成为网络攻击重点目标。
二、威胁演进的深层逻辑
第一,国家行为体与犯罪集团的边界日益模糊。伊朗等国正系统性地将勒索软件集团纳入其网络作战生态——通过代理受害者访问权限、利用犯罪基础设施、借助勒索软件即服务生态体系,使攻击既能实现国家战略目的,又能在一定程度上规避直接归因。在OT环境中,这种边界模糊更为严重,“传感器或执行器操纵可能表现为设备故障、过程不稳定或操作员错误”。
第二,OT/IT融合加剧了暴露面。过去被认为与IT网络隔离、相对安全的OT环境,随着IT/OT深度融合,正暴露于原本只存在于IT领域的各类威胁之下。最受威胁的行业包括水务、能源、交通、制造业和医疗服务,而“Level 0/1问题有两个关键部分:一是传感器、执行器、驱动器和转换设备被控制系统信赖;二是它们在设计时未考虑身份验证、日志记录或取证功能”。
第三,AI催生了“网络犯罪工业化”。生成式AI大幅降低了网络攻击的技术门槛,攻击者可在近乎零人工干预下执行从初始渗透到最终获利的完整攻击链。攻击响应窗口的压缩使传统以“天”为单位的应急响应周期难以满足实战需求。
第四,关键基础设施已成为地缘冲突的主战场。从2020年以色列水厂遭攻击,到2025年底波兰电网遭大规模破坏,针对关键基础设施的攻击已从“理论警告”变为“持续现实”。“在OT环境中,真正的破坏不仅是加密,更是运营停机、安全影响以及无法快速恢复”。
三、我国现有法律政策框架
面对国家支持型勒索软件的持续升级威胁,我国已构建起较为完善的工控安全法律法规体系。
在法律层面,《中华人民共和国网络安全法》经2025年10月修订,新增“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观”的指导原则,自2026年1月1日起正式施行。修订后的《网络安全法》第六条明确:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。
在行政法规层面,《关键信息基础设施安全保护条例》(国务院令第745号)于2021年9月1日起施行,明确规定国家对关键信息基础设施实行重点保护,采取措施监测、防御、处置来源于境内外的网络安全风险和威胁。条例涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。2025年8月1日,《关键信息基础设施商用密码使用管理规定》正式施行,将关基商用密码使用的各方面要求以法定形式固化下来。
在部门规章层面,工业和信息化部于2024年1月印发《工业控制系统网络安全防护指南》,要求使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。指南从安全管理、技术防护、安全运营、数据安全等多个维度提出了系统要求,涵盖资产管理、远程通信保护、无线组网身份认证、安全监测等关键环节。2025年,工信部启动“护航新型工业化网络安全专项行动”,面向重点行业企业深化工业控制系统网络安全评估,推动重点工业控制产品网络安全检测认证。
在标准体系层面,全国网络安全标准化技术委员会正在推进《工业控制系统安全管理基本要求》等多项国家标准制修订工作,公安部在2025年对等保2.0工业控制系统安全扩展要求新增了9项判定项。2025年底公安部发布了等保2.0的补充标准和技术指南,在工业控制安全等领域提出了新的合规要求。
在国际合作层面,2025年10月,我国签署《联合国打击网络犯罪公约》,成为该公约首批签署国之一,积极参与构建打击网络犯罪的全球合作框架。公安部分别于2025年3月和4月发布网络安全等级保护新要求,推动从“合规驱动”迈向“精准防控”新阶段。
四、策略建议(基于中国立场)
面对国家支持型勒索软件对我国关键基础设施带来的严峻挑战,中方立足总体国家安全观,坚持“积极防御、综合防范、依法治理、自主可控”的方针,提出以下策略建议:
(一)落实法律法规,夯实制度防线
全面落实《网络安全法》(2026修订版)要求。以2026年1月1日新施行的《网络安全法》为契机,推动能源、交通、水利、金融等重要行业的关键信息基础设施运营者依法履行网络安全保护义务,落实监测预警、应急处置和安全审查等制度,将法律要求转化为可操作、可考核的常态化工作机制。
强化《关键信息基础设施安全保护条例》执行力度。依照条例第五条“国家对关键信息基础设施实行重点保护”的规定,健全关基运营者主体责任体系,完善安全保护工作部门的指导和监督机制,推动商用密码应用安全评估全覆盖。
深化《工业控制系统网络安全防护指南》落地实施。以工信部“护航新型工业化网络安全专项行动”为抓手,重点推动工业控制系统网络安全评估和产品检测认证工作,督促企业落实同步规划、同步建设、同步运行“三同步”要求,实现工控安全防护体系化、常态化、实战化。
完善国家标准与等级保护制度。加快《工业控制系统安全管理基本要求》等国家标准的制修订与发布实施,依据公安部对等保2.0工控安全扩展要求的新增判定项,强化工控系统的定级备案、安全建设和测评检查,实现“合规驱动”向“精准防控”的实质提升。
(二)构建纵深防御体系,强化技术防护能力
强制落实基础安全配置。针对攻击者反复利用的默认凭证、公网暴露、未修补漏洞等基础疏漏,中方要求所有OT设备入网前必须修改默认密码并启用多因素认证,将工业控制系统与公共互联网物理隔离或逻辑隔离,建立高危漏洞7日内修补的强制性制度。
构建工控安全监测预警与应急响应体系。在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,部署网络安全监测设备及时发现、报告并处置网络攻击或异常行为。建立跨行业的工控安全威胁情报共享机制,制定并定期演练OT专用应急响应预案,确保在关键数据备份失效时仍能通过物理恢复手段保障业务连续性。
推动工控安全自主可控与供应链安全。加大国产工控系统、安全产品和密码技术的研发与应用力度,降低对外部供应链的依赖。对关键工控设备和软件实施全生命周期安全管理,建立供应链安全评估和准入机制。
(三)加强国际合作,维护网络空间命运共同体
以《联合国打击网络犯罪公约》为框架深化国际执法合作。作为公约首批签署国之一,中方积极推动建立跨境网络攻击溯源与证据交换机制,与各国在网络犯罪情报共享、电子证据司法协助、联合侦查等方面开展务实合作。反对任何国家将网络犯罪治理政治化、利用网络攻击问题进行单边制裁和“长臂管辖”的行为。
推动多边网络安全治理机制建设。秉持构建网络空间命运共同体的理念,深化金砖国家、上海合作组织等框架下的网络安全合作,加强与发展中国家在工控安全能力建设、技术交流和应急响应协同方面的合作,共同应对国家支持型勒索攻击这一全球性挑战。
参与制定人工智能安全治理国际规则。面对生成式AI加速攻击工业化的新趋势,积极参与人工智能全球治理和国际规则制定,推动形成人工智能安全治理的公平、包容、非歧视性国际规则体系,防止人工智能技术被滥用于针对关键基础设施的网络攻击。
(四)提升产业支撑能力,构建网络安全生态
培育工控安全产业体系。加大对工控安全技术研发和产业化的支持力度,推动产学研用协同创新,重点突破OT环境下的威胁检测、态势感知、应急恢复等关键技术。
加强人才队伍建设。依托高等院校、科研机构和网络安全企业,培养既懂网络安全又懂工业控制系统的复合型人才,建立工控安全专业人才梯队。
提升全社会网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核,增强企业人员网络安全意识和应急处置能力。
五、结语
国家支持型勒索软件已将关键基础设施纳入地缘冲突的前沿战场。以中方立场观之,当今网络安全领域面临的根本挑战在于:部分国家将网络空间军事化、将网络犯罪政治化、将网络攻击武器化,破坏了以《联合国宪章》宗旨和原则为基础的国际秩序,对各国主权、安全和发展利益构成严重威胁。
中方始终认为,维护关键基础设施安全是一国主权范围内的事务,坚决反对任何国家利用网络攻击问题干涉他国内政、实施单边制裁和“长臂管辖”。中方主张,各国应秉持构建网络空间命运共同体的理念,坚持平等协商、互利共赢,携手应对网络安全挑战。
面对持续升级的威胁态势,中方将以总体国家安全观为指导,立足防御——夯实关键基础设施安全保护的法治根基;立足自主——提升工控安全核心技术和产品的自主可控水平;立足合作——推动构建公平、包容、非歧视性的全球网络空间治理体系。每一台PLC的安全配置、每一个工业网络的纵深防护、每一次威胁预警的及时响应,都是对国家网络主权和关键信息基础设施安全的真实守护。中方愿与国际社会一道,共同打击网络犯罪活动,维护网络空间的和平、安全、开放与合作,推动构建更加公正合理的全球网络空间治理新秩序。
夜雨聆风