網絡安全世界中的兩大威脅是國家支持的高級持續性威脅(APT)和網絡罪犯，其深入世界各個角落的基礎設施和圈子也就是所謂的暗網。APT組織和網絡犯罪團伙向來井水不犯河水，各自都有自己的目標、人員和手段。但是近些年來，二者之間出現了一些交叉和重疊。

從進入公眾視野之日起，APT就一直在用通常在暗網上售賣的工具。具體而言，許多APT事件中都出現了Poison Ivy等遠程訪問木馬(RAT)的身影。這種現象非常普遍，以致于許多人對“APT”一詞本身提出了質疑，因為RAT并不被認為是“高級的”(事實上，APT中的“高級”指的是黑客組織背后的基礎設施，即民族國家)。APT事件常以數據滲漏為目標，多年來，APT組織使用暗網上各種網絡犯罪工具達成此目標，二者并不矛盾。

而另一方面，網絡犯罪團伙也借鑒了APT的一些戰術。騙子常常盯上金融機構的客戶，就是因為客戶被認為是金融機構整個安全鏈條中最弱的一環。他們根本不去嘗試突破銀行的安全網絡，而是采用網絡釣魚攻擊來染指其受害者。其他企業淪為網絡犯罪的受害者，則是因為網絡犯罪團伙黑進了他們的系統(比如電子商務網站)，從而盜走了各種憑證。但突破銀行的系統就被認為是無法企及的目標，絕大多數網絡犯罪團伙都不會去嘗試。

不過，在某種程度上，網絡犯罪團伙明白，如果APT使用暗網工具訪問企業網絡取得了巨大成功，那他們自己也能做到。一些網絡犯罪團伙已經采用了APT的戰術，使用魚叉式網絡釣魚發送感染了惡意軟件的附件，通過惡意附件來獲取銀行IT系統的訪問權。網絡安全公司Group-B稱，名為Cobalt的網絡犯罪團伙利用銀行系統權限，向ATM機遠程植入了惡意軟件，造成銀行ATM機自動吐鈔(所謂Jackpotting攻擊)。

后來的事件中，APT的目標逐漸開始網絡犯罪團伙化。如果說以前APT的主要目標是數據滲漏，為了竊取知識產權和情報，那最近一些APT組織入侵各大企業就開始是為財了。在這方面最臭名昭著的APT組織是Lazarus，據說該組織與朝鮮有關。一系列攻擊中都出現了Lazarus的身影，包括索尼影業數據泄露事件和針對韓國的多起DDoS攻擊事件。尤為值得一提的是，該組織還與2016年孟加拉央行網絡攻擊事件有關。這起事件中，作案者發起的非法SWIFT網絡轉賬價值近十億美元，不過，三十五條轉賬指令中僅五條成功了。此外，Lazarus與WannaCry勒索軟件也有關系，被認為是2017年5月那波全球性攻擊的幕后黑手。WannaCry勒索軟件使用了最初由NSA研發的被泄漏洞利用程序，感染Windows主機后會加密其上文件并發出勒索信，受害者不支付贖金就無法解鎖文件。這波全球性攻擊中，150多個國家的30多萬臺計算機遭感染。

將作案重點轉向經濟收益的APT并非僅僅有據稱歸屬朝鮮的Lazarus一家。各家網絡安全公司的報告宣稱，伊朗政府支持的黑客組織目前盯上了以色列公司。研究人員聲稱，盡管他們的目標表面上看似乎是為了求財，但這些攻擊背后真正的原因是政治性的。2020年11月20日，名為Black Shadows的黑客組織攻擊了以色列保險公司Shirbit。他們試圖勒索這家保險公司，警告稱如果不付款就曝光被盜數據。Shirbit拒絕付款，而數據隨后也確實泄露了。這家公司遭受了直接經濟損失，并且面臨集體訴訟。安全供應商SentinelOne表示，盡管該事件的性質是網絡犯罪，但所有這些操作都是用來掩蓋伊朗針對以色列的各項行動。這起事件，以及針對KLS Capital等以色列公司的多起其他事件，都是APT攻擊，是兩國間當前冷戰的一部分。ClearSky Cyber Security指出，這一行動中的其他重磅攻擊落在了Amital和Habana Labs身上。

盡管基礎設施、目標和手段存在差異，惡意黑客組織的工作環境并非真空。他們會互相取經。網絡威脅世界中所有惡意團伙都這樣。關注網絡犯罪活動的研究人員也應該注意APT空間中發生的事情，因為這類事情最終可能會滲透到犯罪世界。反過來也一樣，網絡犯罪團伙使用的工具、創新戰術和方法，最終也會落入政府支持的黑客組織手中。