隨著企業上雲漸趨普及，雲端環境亦成為駭客攻擊的首要目標之一，根據Google最新發布的M-Trends 2026報告顯示，以全球態勢而言，攻擊者針對雲端環境使用的初始入侵手法，在2025年有顛覆性的變化，最常使用的滲透手段是語音網釣（Vishing），而非以往的電子郵件網釣。

語音網釣與第三方供應鏈入侵威脅崛起

根據Mandiant的調查案例，2025年雲端環境的初始感染途徑（Initial Infection Vector）威脅有極大轉變，更顯著的趨勢是：語音網釣與第三方供應鏈入侵已竄升為駭客最主流的攻擊手段，徹底打破了過去由電子郵件網釣主導的局面。

從整體排名來看，如今攻擊手法已呈現高度多元化，語音網釣（23％）的比例居於第一，第三方供應鏈入侵（17％）居於第二，其次是憑證竊取（16％）、電子郵件網釣（15％）、內部威脅（14％）、漏洞利用（6％），以及其他（14％）。
 

初始入侵手法出現結構性轉變，傳統電子郵件網釣銳減

若將此數據與前一年度報告相比，我們更能看出駭客攻擊策略出現根本性的結構轉變。在2024年，雲端初始入侵的排名為：電子郵件網釣（39％）、憑證竊取（35％）、SIM卡交換攻擊（6％）、語音網釣（6％），以及其他（14％）。

換言之，短短一年間，電子郵件網釣的佔比從39％驟降至15％，憑證竊取也從35％縮減至16％。取而代之的是語音網釣、第三方供應鏈入侵。這代表駭客可能意識到，隨著企業強化郵件過濾與多因素驗證（MFA）防線，傳統的郵件攻擊效率遞減，轉而採取更具針對性、透過真人即時引導的語音通話來騙取權限。整體呈現多元手法並進的態勢。

兩大駭客族群擅長語音網釣，中國間諜組織手法隱密亦受關注

Mandiant進一步指出，在雲端受駭事件中，高達5成9的事件涉及資料竊取，且有3成4的攻擊具備明確財務動機，包括僱傭詐騙、資料竊取勒索、勒索軟體、支付轉向詐騙及直接盜竊。

對於語音網釣的態勢，Mandiant觀察到，多起針對雲端環境的大規模資料勒索事件，被歸因於駭客團體UNC3944（亦被稱為Scattered Spider）與UNC6240（亦被稱為ShinyHunters），兩者皆頻繁以語音網釣作為初始入侵手段。

這些駭客組織的手法有何特殊？Mandiant指出，以UNC3944為例，先是透過電話冒充技術支援人員，誘騙員工交出雲端存取權限後，隨即對Azure Portal、M365 郵件及特權帳號管理（PAM）系統廣泛偵察，並擷取敏感資料進行勒索。另一組織UNC6040則展現高度自動化的特質，利用系統原生工具與大量API操作，進行大規模的資料收集與竊取，以此作為勒索籌碼。

另要注意的是，Mandiant在此特別點名中國政府支持的間諜組織UNC6201，主要因其攻擊手法相當隱密，顯現出雲端防禦架構中的關鍵盲點。

Mandiant在多起調查中發現，UNC6201專門鎖定無法部署端點偵測與回應（EDR）的Linux或BSD網路設備，植入名為BRICKSTORM的後門程式，進而利用擷取到的合法憑證，滲透VMware vCenter伺服器與ESXi主機。

後續攻擊行動更為隱密，因其採取離線數據挖掘手法，複製（Clone）多個虛擬機器，在未開機狀態下，從磁碟映像檔中擷取單一登入（SSO）、金鑰庫（Secret Vault）與網域控制站（DC）等敏感資料與憑證，藉此成功規避系統安全偵測。