黑客绘制美国工业控制系统地图，威胁升级

工业网络安全公司 Dragos 于 2026 年 2 月 17 日发布了第 9 份年度回顾报告，识别出三个新的操作技术威胁组织，这些组织已成为日益协调的对手生态系统的一部分，目标是全球关键基础设施。

新识别的组织——Azurite、Pyroxene 和 Sylvanite——使 Dragos 追踪的工业威胁组织总数达到 26 个，其中 11 个在 2025 年处于活跃状态。报告发现，攻击者已从侦察阶段发展到绘制工业环境中的控制回路地图，展示了对物理过程的操作理解，这标志着入侵进入了更危险的阶段。industrialcyber+1

威胁组织形成协同攻击生态系统

Sylvanite 作为初始访问代理运作，快速将漏洞武器化并将已建立的立足点转交给 Voltzite——一个与中国背景的 Volt Typhoon 有关联的组织——以进行更深层次的 OT 入侵。Dragos 在响应美国电力和水务设施的安全事件时发现了 Sylvanite 的活动，该组织利用 Ivanti 漏洞并窃取了 Active Directory 凭证。cybersecuritydive+2

Azurite 与被称为 Flax Typhoon 的组织存在重叠，利用被攻陷的小型办公室和家庭办公环境来针对工程工作站，采用依托现有系统的技术来维持持久性。Pyroxene 使用社会工程学策略，包括冒充招聘人员的虚假 LinkedIn 个人资料，并已对以色列的目标部署擦除器恶意软件。

Dragos 首席执行官兼联合创始人 Robert M. Lee 表示：“攻击者正在绘制控制系统的工作方式，了解命令从哪里发起、如何传播，以及可以在哪里引发物理效应。我们看到这个生态系统在演进，专业化的威胁组织正在系统性地为更具能力的攻击者建立进入 OT 环境的访问路径。”

勒索软件攻击激增64%

勒索软件仍然是工业组织面临的最具影响力的威胁，攻击数量同比增长64%。Dragos 在 2025 年追踪到 119 个针对工业组织的勒索软件团伙，高于前一年的 80 个，共影响了约 3,300 个组织。其中，制造业占所有受害者的三分之二以上。industrialcyber+1

勒索软件在 OT 环境中的平均驻留时间为全行业 42 天。然而，拥有全面 OT 可见性的组织平均在 5 天内就能检测并遏制事件——这表明检测成熟度与响应成功率直接相关。

现有威胁组织升级行动

该报告还记录了成熟威胁组织的行动升级。Kamacite 作为 Electrum 的接入团队运作——Electrum 与 2015 年乌克兰电网攻击事件有关——被发现扩大了对欧洲工控系统供应链的攻击目标。Electrum 与 2025 年 12 月针对波兰电网的攻击有关，该攻击针对风力发电场和太阳能装置。

“世界上没有其他团队在摧毁基础设施方面拥有像 Electrum 这样丰富的经验，”Lee 在媒体发布会上表示。