awesome-threat-actor-resources
收藏github2026-05-28 更新2026-06-04 收录
下载链接:
https://github.com/rstcloud/awesome-threat-actor-resources
下载链接
链接失效反馈官方服务:
资源简介:
这是一个精心策划的元列表,收录了开源威胁行为者档案数据库和APT组织数据集的公共参考资源。它涵盖了各种威胁行为者群体,如APT、网络犯罪团伙、国家支持的行为者和其他敌对实体。列表中的资源在范围、格式和覆盖深度上各不相同,从简要总结到详细的威胁情报报告。该合集通过表格形式组织,列出了每个数据源的名称、描述、条目数量和相关链接,旨在为威胁情报研究和分析提供一个集中的数据集资源索引。
This is a curated meta-list of public reference resources for open-source threat actor profile databases and APT group datasets. It covers various threat actor groups, including APT groups, cybercriminal gangs, state-sponsored actors, and other hostile entities. The resources in this list vary in scope, format, and depth of coverage, ranging from brief summaries to detailed threat intelligence reports. This collection is organized in a tabular format, listing the name, description, entry count, and relevant links for each data source, aiming to provide a centralized dataset resource index for threat intelligence research and analysis.
创建时间:
2025-05-27
原始信息汇总
数据集概述
该页面是一个精选的、开源威胁行为者(Threat Actor)档案来源的元列表,旨在追踪各类网络威胁组织,包括APT、网络犯罪团伙、国家支持行为体等。这些来源在范围、格式和覆盖深度上各不相同,从简要摘要到详细威胁情报报告均有涉及。
核心内容:威胁行为者档案来源主列表
该列表包含来自不同组织或社区的32个主要来源,每个来源提供不同数量(从9个到821个不等)的威胁行为者档案。以下为部分代表性来源及其关键信息(完整列表请参考原文):
| 来源 | 简要描述 | 收录数量 | 链接(转为绝对) |
|---|---|---|---|
| EternalLiberty | 收录威胁行为者名称及别名的汇编。 | 821 | https://github.com/StrangerealIntel/EternalLiberty/blob/main/EternalLiberty.csv |
| Malpedia | 提供821个威胁行为者的简要描述(1-2句话)及其相关链接。 | 821 | https://malpedia.caad.fkie.fraunhofer.de/actors |
| MISP Galaxy | 列出816个威胁行为者的别名,但缺乏描述性信息。 | 816 | https://misp-galaxy.org/threat-actor/ |
| MITRE ATT&CK | 关于攻击技术和威胁组织的权威参考资料。 | 170 | https://attack.mitre.org/groups/ |
| Microsoft | 提供约130个威胁行为者的名称和别名。 | ~130 | https://download.microsoft.com/download/4/5/2/45208247-c1e9-432d-a9a2-1554d81074d9/microsoft-threat-actor-list.xlsx 和 https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming?view=o365-worldwide |
| CrowdStrike | 当前在线展示73个,累计追踪超过250个威胁行为者。 | 73+ | https://www.crowdstrike.com/adversaries/ |
| Dragos | 专门针对ICS/OT领域的23个威胁行为者档案。 | 23 | https://www.dragos.com/threat-groups/ |
其他说明
- 数据特性:各来源的收录数量为近似值,可能随时间变化;部分来源侧重别名,部分提供详细描述或TTP(战术、技术与程序)信息,还有的专门针对云或工控环境。
- 访问方式:部分来源需要手动提取数据(例如通过XLS文件或交互式网站)。
- 目标受众:适用于CTI(网络威胁情报)分析师、红队、蓝队及安全研究人员。
贡献方式
该页面允许通过提交问题(Issue)来推荐其他高质量的开源威胁行为者数据库或追踪项目。
搜集汇总
数据集介绍

构建方式
该数据集以开源情报(OSINT)为核心,系统性地汇集了来自全球多个权威机构的威胁行为者档案资源。构建过程首先从EternalLiberty、Malpedia、MISP Galaxy等知名平台提取数据,涵盖APT组织、网络犯罪团伙及国家背景的敌对实体。通过交叉比对与整合,将不同来源中重复或重叠的条目进行去重与合并,形成一份综合性的元列表。每个条目均标注了来源机构、覆盖数量及访问链接,确保数据的可追溯性与透明度。此外,数据集还收录了来自中国、德国、乌克兰等地区性CERT及安全厂商的专有情报,以增强地理与主题的多样性。
特点
该数据集的核心特点在于其广泛的覆盖范围与多维度的信息粒度。它囊括了从MITRE ATT&CK等权威框架到社区维护的电子表格等不同层级的数据源,条目数量从9个到821个不等,反映了各来源在深度与广度上的差异。部分来源如Malpedia提供简短的描述与关联链接,而Bi.Zone则注重TTP(战术、技术与程序)的详细分析。此外,数据集特别关注了云安全(如WIZ)、工业控制系统(如Dragos)及人工智能滥用(如Threat Actors using LLMs)等新兴领域,为特定场景下的威胁情报分析提供了定制化支持。
使用方法
使用者可直接通过数据集提供的链接访问各原始来源,获取详细的威胁行为者档案。对于需要批量处理或自定义分析的用户,建议优先使用EternalLiberty等提供CSV格式的数据源,以便于导入威胁情报平台(如MISP)进行自动化关联。数据集中的映射文件(如Microsoft与CrowdStrike的对应关系)可用于跨平台威胁归因的校准。研究人员可结合各来源的特点,例如利用MITRE ATT&CK进行技术层面的横向对比,或通过Malpedia的链接链进行深度溯源。对于持续跟踪需求,建议定期检查各来源的更新状态,并通过GitHub的Issue功能提交新增的高质量数据库。
背景与挑战
背景概述
在网络威胁情报领域,对威胁行为体的精准识别与持续追踪是防御体系构建的基石。随着高级持续性威胁(APT)、网络犯罪团伙及国家背景攻击者的日益猖獗,安全社区亟需一个系统化、可扩展的威胁行为体知识库。Awesome Threat Actor Resources 数据集应运而生,由社区贡献者于近年整理并维护,旨在汇聚全球开源威胁行为体档案的元信息。该数据集收录了来自EternalLiberty、Malpedia、MITRE ATT&CK等三十余个权威来源的威胁行为体条目,涵盖从简要别名到详细战术技术程序(TTPs)的多层次信息,为安全分析师、红蓝队及研究人员提供了统一的检索入口,显著提升了威胁归因与情报整合的效率。
当前挑战
该数据集面临的核心挑战在于解决威胁行为体信息碎片化与命名冲突的领域难题。不同情报来源对同一行为体的命名与描述存在显著差异,如Microsoft与CrowdStrike的映射表仅涵盖81个重叠条目,暴露出跨源归因的复杂性。构建过程中,数据收集面临来源格式异构的障碍,部分平台(如Microsoft的XLS文件、SecureWorks的交互式页面)需手动提取,且条目数量动态变化,如CrowdStrike公开收录73个但历史追踪超过250个,导致统计口径难以统一。此外,描述深度参差不齐,MISP Galaxy仅提供别名而无背景信息,而Malpedia则附有详细链接,这种非结构化特性增加了自动化整合与质量控制的难度。
常用场景
经典使用场景
在网络威胁情报(Cyber Threat Intelligence, CTI)领域,威胁行为体的精准识别与溯源是防御体系构建的基石。awesome-threat-actor-resources 数据集如同一幅精心绘制的威胁图谱,将散落在全球各地的开源威胁情报源——从 MITRE ATT&CK 的权威框架到 Malpedia 的恶意软件关联,从 Mandiant 的专业追踪到中国奇安信、360 等本土视角——汇聚为统一索引。其最经典的使用场景在于为安全分析师提供一站式的威胁行为体档案检索入口,无论是追踪 APT 组织的别名演变,还是比对不同情报源对同一群体的描述差异,均可通过该数据集快速定位,极大提升了情报整合与交叉验证的效率。
实际应用
在实际安全运营中,该数据集的价值贯穿威胁生命周期管理。对于企业安全运营中心(SOC),它可辅助自动化威胁狩猎流程——当检测到疑似恶意活动时,分析师能迅速查阅该数据集,确认攻击者是否属于已知 APT 组织,并关联其惯用战术、技术及程序(TTPs),从而加速事件响应决策。此外,红蓝对抗团队可依据数据集中的行为体画像,设计更具针对性的模拟攻击场景或防御策略验证。云安全厂商如 WIZ 亦能利用其云专属威胁索引,评估特定攻击者对云基础设施的潜在风险,实现从通用情报到行业落地的无缝衔接。
衍生相关工作
该数据集的整合特性催生了多项具有影响力的衍生工作。例如,EternalLiberty 项目基于此数据集构建了包含 821 个威胁行为体别名的标准化知识库,成为别名消歧研究的标杆资源;APTMap 则进一步融合 MISP 与其他源,实现了威胁群体的跨库关联图谱,推动了图神经网络在威胁关联分析中的应用。在命名规范领域,Microsoft 与 CrowdStrike 联合发布的映射表(收录于该数据集)直接促进了行业间威胁行为体命名的去冲突化进程。此外,针对大型语言模型(LLM)滥用的威胁行为体列表(Threat Actors using LLMs)亦是从该数据集衍生出的前沿分支,反映了新型攻击面下情报追踪的演进方向。
以上内容由遇见数据集搜集并总结生成



