威胁行为者分类体系与命名法

Larva（幼虫）：未识别的威胁行为者

Larva 指的是在归属信息尚未确认的初期阶段、身份未知的威胁行为者。所有威胁行为者在首次被发现时，都会被归类为 Larva 进行管理，直至获得更多归属信息并完成进一步识别。

被赋予 Larva 名称的威胁行为者将以“Larva-YY###”格式的管理编号进行标注。其中，“YY”表示检测年份，“###”表示该年度的检测顺序。 例如，“Larva-26001”表示 2026 年首次发现的、尚未被识别归属的威胁行为者。

Larva 属于后文所述“威胁行为三阶段管理体系”中的第一阶段，是 Incident（单个攻击事件）级别及以上赋予的固定名称。随后，通过进一步分析与信息收集，一旦确认其归属于某个特定威胁组织，则会与相应的 Arthropod（已识别威胁行为者）命名进行关联。

当出现新的信息时，与 Arthropod 的关联关系可随时进行修订（新增、变更或删除）。例如，若某攻击组织最初识别为朝鲜背景，并被归类为 Ant。但在进一步分析后若确认为其实际与中国相关，则与该 Larva 关联的 Arthropod 也将从 Ant 调整为 Cricket。

Arthropod（节肢动物）：已识别的威胁行为者

当获取关于 Larva 的充分归属信息后，将根据其与特定国家或组织的关联性，将其连接至相应的 Arthropod 命名。

Arthropod 大致可分为国家背景威胁行为者和非国家威胁行为者。

第一阶段：Incident - 单个攻击事件

Incident指的是已确认受害者或受侵害组织的单个攻击事件。每个Incident都会被赋予唯一的管理编号“INC-YYMMDD-###”，其含义为“INC（入侵事件）-YYMMDD（年月日）-###（顺序）”。对于Incident，重点在于分析事件的特性、入侵范围、使用的攻击手法等，以了解该事件具有什么特点。通过这一阶段，可以准确识别单个攻击事件，并为构建更高层次的Operation奠定基础。

第二阶段：Operation - 攻击活动

Operation是将多个事件组成一个攻击活动的单位。重点在于综合分析攻击的特点、目标和使用的技术，以找出各事件之间的关联性，并了解攻击活动的模式和意图。Operation的名称格式为“OP-YYMMDD-###”，其结构与Incident的名称结构相同。

在Operation分析中会考虑各种因素，主要项目如下：

• - Goal : 攻击者的最终目标
• - Target : 攻击对象（组织、行业领域、地区等）
• - Malware : 所使用的恶意代码种类和特点
• - Tool : 攻击中使用的工具和软件
• - Vulnerability : 被利用的漏洞
• - Technique : 攻击技术和战术
• - Infrastructure : 攻击中使用的基础设施（C&C服务器、代理等）

通过对这些多种因素进行综合分析，可以识别各Operation的固有特点和模式，从而更准确地追踪威胁行为者的活动。

从分析威胁行为者的角度来看，在分析的初始阶段，Operation被视为由未识别的威胁行为者Larva执行的。由于在分析开始时威胁行为者的归属信息不明确，因此以Larva命名进行管理，应对信息不确定性。之后，当获得更可靠的信息时，可以将威胁行为者与Arthropod关联起来。

在Operation阶段，重要的一点是一个攻击活动中可能涉及多个威胁行为者。在本体系中，考虑到网络攻击可能基于多个威胁行为者之间的合作，因此允许Larva关联到多个Arthropod。从实际攻击案例来看，个人、受雇威胁行为者或威胁团体常常为了共同的目标进行合作。

第三阶段：Campaign - 长期且具有组织性的攻击活动

Campaign是指长期且有组织的攻击活动，包括持续至少几个月到一年以上的攻击活动。Campaign由两个或多个Operation组成，并在长时间内利用多种攻击技术以实现长期目标。对于这样的Campaign，也是在经过长期分析后定义其名称。

在分析Campaign时，重点分析涉及多个Operation以实现长期目标的攻击活动，而不是单一攻击活动。此阶段的目标是了解攻击者的最终目的和长期战略。为此，会对多个威胁行为者长期合作或独立活动的案例进行分析。

有关AhnLab新开发的威胁行为者分类体系与命名法的详细内容，请参阅页面顶部的PDF报告。