从俄乌冲突到以伊冲突，具有国家级背景的APT(高级持续性威胁)攻击频繁活跃，凭借其组织严密、手段专业、行为隐蔽、破坏力大等特性，如同网络空间中的隐形刺客，长期盘踞在网络安全威胁的金字塔顶端。

　　今年4月，奇安信威胁情报团队在日常威胁狩猎过程中，通过天擎EDR“六合”高级威胁防御引擎“内存攻击防护”能力，叠加独有的终端情报运营赋能，精准发现了“UTG-Q-017”境外高级窃密组织持续近1年的隐蔽窃密活动。

　　之所以这个境外高级窃密组织如此隐蔽，是因为该活动的攻击者全程使用无文件落地的内存攻击技术，极难发现。经奇安信分析，该组织采用了一次性C2，仅从“六合”引擎“内存攻击防护”抓到的恶意IP就多达500多个，其对应的域名更多达1600多个。政府、信息技术、制造业、医疗、交通、金融等曾几乎所有行业客户均受到本次攻击的影响。

　　1

　　终端情报运营：从碎片到链条的攻防破局

　　“这次发现境外窃密组织的功臣除了‘六合’引擎之外，离不开奇安信EDR特有的终端情报运营。”奇安信天擎EDR负责人表示，因为仅发现碎片化的某个行为切片是远远不够的，我们还需要依托终端情报的持续运营，寻找出隐藏在单个行为之下的关联度，深度剖析并还原出完整的攻击链条，然后通过攻击路径上发现客户存在的安全短板，最终形成可落地的技术分析材料与情报，为客户的防护改进提供有效的支持。

　　在现代战争中，谁掌握情报，谁就掌握主动权。而在网络攻防空间中，情报堪称“指南针（300803）”与“武器库”，发挥着无可替代的关键作用，具有极为深远的意义。

　　天擎EDR自推出以来，就将情报运营作为提升核心能力的重要支撑。更具体来说，天擎EDR具有以下独特优势：

　　首先是基于一线数据的情报内生。过去网络攻防以来的情报，通常是安全厂商以及第三方厂商各种渠道汇聚出来的外部威胁情报，这些情报的优势在于广度和丰富度，对于客户虽然不可或缺，但到具体场景中的实用性和时效性都会有一些折扣。而天擎EDR的情报基于内生理念，主要来自于在客户侧一线实时发现的威胁，并这些真实发生的威胁提炼加工成为情报，毫无疑问，这些情报更具有实战价值。

　　其次是云地协同的闭环运营。以内生情报为基础的终端运营体系，是指以天擎EDR为基础，从用户侧采集行为数据，经过云端运营，加工成专业情报反馈给用户，用户根据情报在天擎EDR上完成溯源与处置等后续动作。

　　这种运营模式构建了独特的“云地协同”体系：终端作为前线哨所，实时采集攻击痕迹；云端作为指挥中枢，通过威胁情报中心的专业能力，将分散的情报线索编织成网；最终产生的情报赋能到用户终端，形成处置闭环。通过这些步骤，从终端客户数据，到云端的情报分析和加工，最终转化为威胁情报，进而到终端进行情报消费，快速处置和响应，完成了从用户数据到情报再到响应的完整闭环。

　　最后是全线赋能推动体系升级。独木不成林，单品无体系。天擎EDR的情报能力，不仅仅是针对终端，还在于对于整个安全体系的全线赋能。在云端的运营过程中，天擎EDR产生关键的IoCs(入侵指标)与IoA(攻击指标)，经过精细化的运营，以产品化的规则库、情报库、机器学习模型等形态，再次推送给客户侧的产品(EDR、NDR、NGSOC、TIP、防火墙等等)进行消费使用，这样提升了整体的体系防护能力，精准修补安全短板。

　　截止目前，天擎EDR的猎鹰情报服务，为企业上云的客户，平均每天生产6000条左右与APT、黑产、攻防演练有关的情报，准确度达到了99.99%。

　　2

　　屡次发现APT组织，情报运营彰显体系能力

　　除了开头发现“UTG-Q-017”境外高级窃密组织之外，仅仅在今年，得益于情报运营在天擎EDR中的充分使用，奇安信已经帮助客户捕获多次APT攻击组织等大型复杂安全事件。

　　2025年6月，某头部能源企业，天擎EDR采集的行为数据中，经过奇安信云端的猎鹰情报检测系统发现有经特殊伪装的程序内存加载执行CobaltStrike的远控木马回连位于印度的C2服务器，相关情报同步至客户侧，运营人员根据情报信息进行分析溯源：

　　1、快速定位失陷终端，并进行有效的处置，遏制了攻击外溢；

　　2、溯源攻击样本的来源来自于钓鱼邮件，又经威胁情报团队对钓鱼邮件进行分析，定性为海莲花组织；

　　整个过程，从发现攻击、到有效处置、到溯源攻击组织，仅用2天时间，大大提升了APT攻击事件的处置效率。

　　同样，在早些时候，奇安信威胁情报团队日常威胁狩猎过程中，通过天擎EDR“六合”高级威胁防御引擎上报的行为日志，发现某国家级研究中心客户的一台终端被攻击者使用横向渗透技术植入木马，并回连位于东亚某国的C2服务器，相关攻击被“六合”引擎捕获并拦截。该情报信息，第一时间同步给客户，利用准确的情报信息，快速的完成了失陷终端排查、样本收集，以及对攻击扩散情况的调查与失陷终端的处置工作。通过对终端提取的样本与日志分析，还原了整个攻击链路，定性了攻击者是APT29组织，攻击源头是利用某品牌的防火墙漏洞，横向渗透至受害终端。

　　基于准确的内生情报，仅用了3天时间完成了整个攻击的分析、溯源、处置与APT组织定性等应急响应工作，并帮助客户发现防火墙的漏洞缺陷，帮助客户找到网络中的短板。

　　3

　　从技术能力到安全范式：构筑数字时代的安全护城河

　　从“UTG-Q-017”到海莲花、APT29，天擎EDR屡次捕获APT组织的案例，本质上是“数据-运营-生态”三位一体安全范式的胜利。正如奇安信集团董事长齐向东所言，内生安全体系的核心在于重塑数据聚合、安全运营与行业生态三大模式——天擎EDR通过“六合”引擎的无文件攻击检测能力，夯实数据采集的“神经末梢”；依托云地协同与AI研判，构建智能化运营的“大脑中枢”；最终通过情报对全体系的赋能，形成安全能力进化的“生态循环”。

　　在数字化转型加速的今天，APT攻击已从单一技术威胁演变为国家层面的网络空间博弈。天擎EDR的实践证明：唯有将情报运营融入安全体系的血脉，让每一次攻击对抗都成为能力进化的正向反馈，才能在看不见的战场构筑起抵御高级威胁的“安全护城河”。当终端成为情报节点、云端成为智慧中枢、全产品体系成为协同战力，网络安全将不再是被动防御的消耗战，而能进化为主动狩猎、持续进化的能力升维战——这不仅是天擎EDR屡次发现APT的核心密码，更是数字时代企业守护网络主权的必然路径。