資安威脅情報機構 Mandiant 結合 Google 威脅情報小組(Google Threat Intelligence Group,GTIG)的第一手情報,於近期發布年度旗艦報告《M-Trends 2026》,彙整 2025 年逾 50 萬小時的全球前線事件應變數據,揭示當前威脅格局的五項關鍵轉變。報告所呈現的趨勢與台灣資安現況高度重疊,涵蓋中國關聯間諜組織對企業關鍵系統的系統性滲透、邊緣設備成為主要攻擊入口、勒索軟體策略轉向破壞復原能力,以及 JAPAC 地區自主偵測能力仍顯不足等面向,對台灣產業界與政府機關均具迫切的參考價值。
中國關聯組織鎖定企業核心系統,SAP 與 VPN 零時差漏洞遭系統性利用
報告指出,2025 年最常遭利用的漏洞集中於公開於網際網路的企業應用伺服器。
CVE-2025-31324(SAP NetWeaver Visual Composer 未授權檔案上傳漏洞)尤為突出,Mandiant 追蹤到至少四個獨立威脅群組在修補程式釋出前即將其作為零時差漏洞加以利用,修補後又有六個額外群組持續以已知漏洞(n-day)方式攻擊未完成修補的系統,其中包含多個疑似中國關聯的網路間諜群組。
JAPAC 地區亦偵測到疑似具中國背景的網路間諜活動叢集利用 CVE-2025-31324,並頻繁使用 KRABDRIP 下載程式執行後續任務。另一威脅組織 UNC5221 在三個月內連續利用同一 VPN 產品的兩個零時差漏洞,部署具記憶體駐留能力的惡意程式 TRAILBLAZE 及被動後門 BRUSHFIRE,繞過端點偵測與回應(EDR)工具,並深入虛擬化管理層進行長期潛伏。台灣半導體、電信、金融及政府機關因高度依賴上述系統,應優先評估相關修補狀態與入侵跡象。
漏洞修補前 7 天已遭攻擊,邊緣設備成難以防守的資安死角
漏洞平均利用時間持續惡化,從 2018 年的 63 天壓縮至 2025 年的「負 7 天」,即攻擊者平均在修補程式釋出前 7 天便已展開攻擊,使以修補週期為核心的傳統漏洞管理策略面臨根本性挑戰。
漏洞利用已連續第六年蟬聯最常見初始入侵手法,全球佔比達 32%,在 JAPAC 地區佔比同為 33%。威脅組織 UNC5807 的行為模式與公開報導中的「Salt Typhoon」高度吻合,其系統性鎖定電信業者的核心網路設備,利用設備內建封包擷取功能竊取明文憑證並橫向移動。邊緣與核心網路設備長期存在更新週期緩慢、不支援 EDR 部署、資產管理疏漏等結構性問題,對台灣電信業者與關鍵基礎設施營運者的威脅尤為直接。
勒索軟體策略轉型:以摧毀復原能力取代單純加密勒索
勒索軟體攻擊策略出現根本性轉變,攻擊者不再僅以加密資料換取贖金,而是系統性摧毀備份基礎設施、竊取 Active Directory 憑證、加密虛擬化管理平面,令受害組織陷入「無法自行復原」的困境。2025 年最常見的勒索軟體家族為 REDBIKE(即 Akira),專門針對 VMware ESXi 等虛擬化平台,透過直接加密 .VMDK 虛擬磁碟檔案,同步癱瘓所有運行其上的系統,並規避安裝於 Guest OS 的 EDR 工具。
Mandiant 建議組織將備份環境與生產虛擬化環境物理或邏輯隔離,導入不可竄改儲存技術,並將虛擬化管理平面視同「零級資產」(Tier-0 asset)進行最高等級保護。台灣製造業、醫療機構及金融業因高度依賴虛擬化環境,應優先針對此攻擊路徑進行韌性評估。
JAPAC 自主偵測率上升,但駐留時間仍大幅延長
從 JAPAC 區域數據來看,2025 年企業內部自行偵測入侵的比例從 2024 年的 31% 上升至 49%,顯示企業正從依賴外部通報轉向主動偵測,是值得正視的正向進展。然而整體中位數駐留時間(dwell time)仍從 6 天延長至 15 天;由外部通報的案例,駐留時間中位數更從 10 天大幅攀升至 38 天,代表部分攻擊者潛伏超過一個月才被察覺。
在網路間諜攻擊與北韓(DPRK)IT 工作者滲透案例中,駐留時間中位數更高達 122 天,攻擊者期間持續以合法工具偽裝正常行為(LotL)。對台灣企業而言,應積極建立主動威脅狩獵機制,並延長關鍵日誌的保存期限,以支援長期潛伏案例的調查需求。
語音釣魚躍升第二大入侵手法,22 秒完成攻擊移交的閃電分工模式成型
電子郵件釣魚從 2024 年的 14% 驟降至 6%,語音釣魚(voice phishing,vishing)則躍升為全球第二大初始入侵手法,佔比 11%,並成為入侵雲端環境的首要途徑,佔比達 23%。語音釣魚涉及真人即時引導受害者提供憑證,針對性與靈活度遠超電子郵件釣魚,現有自動化防護工具對此攔截效果有限。
報告更揭示一項高度警訊:
初始入侵者與後續高衝擊攻擊者之間的「移交時間」中位數,已從 2022 年的逾 8 小時壓縮至 2025 年的 22 秒。留給防禦者介入處置的窗口期大幅縮減,意味著即便是被列為「低優先級」的初期感染警示,也可能在極短時間內升級為全面性勒索軟體攻擊。企業必須對所有等級告警建立快速分流機制,不得因初期感染看似低影響而延遲處置。
結語
《M-Trends 2026》所揭示的威脅圖景,對台灣資安防禦體系具有直接參考意義。中國關聯間諜組織的持續滲透、邊緣設備管理缺口、勒索軟體對復原能力的系統性破壞、JAPAC 地區偵測能力的結構性不足,以及攻擊分工模式的閃電加速,共同構成台灣企業與政府機關當前必須正視的複合威脅環境。Mandiant 建議,組織應將防禦重心從純粹的邊界防護轉向「主動韌性」架構,確保即使關鍵系統遭到入侵,仍能維持業務運營與可信賴的復原能力。