该行业基准报告中最显著的发现之一是，组织系统的初始访问与交接给第二个威胁组之间的时间已经从几小时缩短至几秒钟。

在2022年，初始访问与交接之间的中位时间超过8小时，但自2023年以来这一时间稳步下降，到2025年仅为22秒。

Mandiant的研究人员认为，这表明“初始访问合作伙伴与第二组之间的合作更加紧密”。

他们还指出，在许多情况下，短时间窗口可能是由于自动化过程造成的，初始访问代理商直接代表第二组交付恶意软件，而不是在网络犯罪论坛上宣传获得的访问权限。

最常见的初始感染途径，占案例的32%，是利用漏洞，其次是网络钓鱼（11%）、先前的妥协（10%）和被盗凭证（9%）。电子邮件钓鱼仅占总数的6%，这一途径在近年来显著下降，从2022年的22%下降。

在访问中，最常被利用的三个漏洞是SAP NetWeaver漏洞CVE-2025-31324、Oracle EBS缺陷CVE-2025-61882和SharePoint缺陷CVE-2025-53770（ToolShell）。

在52%的案例中，内部发现了泄露事件，而在34%的案例中，受害者是通过外部实体得知入侵情况。

至于滞留时间，即攻击者在受害者环境中被发现之前的天数，2025年的中位数为14天，比2023年的10天和2024年的11天略有增加。然而，在过去十年中，这一数字显著下降，从2015年的146天降至当前水平。

Mandiant观察到，未被发现的事件数量增加了1-6个月，这似乎是由于朝鲜IT工人和网络间谍活动者，他们竭尽所能地避免被发现。

大约30%的2025年观察到的攻击是出于经济利益动机，而40%的所有事件涉及数据盗窃。

2025年最受攻击的行业是高科技，其次是金融、商业服务和医疗保健。

至于恶意软件，谷歌的威胁情报组在去年识别了714个新家庭，较2024年的632个有所增加。在2025年发现的新恶意软件中，146个针对Linux，55个针对macOS。

2025年最常见的恶意软件家族是GoldVein，这是Cl0p网络犯罪集团在Oracle EBS活动中使用的下载器，其次是Akira勒索软件。

Mandiant还调查了与云相关的妥协，发现语音钓鱼是最常见的初始途径，主要受到ShinyHunters和Scattered Spider活动的推动。语音钓鱼占侵入事件的23%，其次是第三方妥协（17%）、被盗凭证（16%）、电子邮件钓鱼（15%）和内部威胁（14%）。在云攻击中，漏洞利用仅占6%。