FakeCTI 論文閱讀分析：真正能追住假訊息攻擊活動的，往往不是那些一直在換殼的帳號與網域，而是背後那套反覆借屍還魂的敘事骨架

論文基本資訊

• 論文標題：Elevating Cyber Threat Intelligence against Disinformation Campaigns with LLM-based Concept Extraction and the FakeCTI Dataset
• 來源：arXiv:2505.03345
• 年份：2025
• 論文連結：https://arxiv.org/abs/2505.03345
• 主題：CTI、Disinformation、Fake News、LLM、Threat Attribution、Concept Extraction

這篇 FakeCTI 論文真正值得看的地方，不只是它把 fake news 也納入 CTI 來談，而是它很準地指出：很多情資系統之所以永遠追著攻擊者跑，不是因為資料蒐不夠快，而是因為它們還停在太容易被換掉的 indicator 層。

在傳統資安 CTI 裡，我們早就知道只盯 IP、domain、handle 這類低階指標，會被對手用低成本洗掉。這篇 paper 把同一件事搬到 disinformation 場景：如果假新聞與輿論操弄的追蹤，仍然主要靠網站、帳號、連結來源，那麼攻擊者只要換殼，就能把既有偵測與 attribution 重新歸零。作者真正想推進的，是把 CTI 的重心往上移，改盯更難被輕易改寫的 narrative structure、實體關係與概念依賴。

這篇論文想解的，不只是 fake news detection，而是比較像 campaign-level CTI

這篇 paper 和很多假新聞分類研究最大的差別，在於它不只問「這篇是不是假」，而是問兩個更像 threat intelligence 的問題：

• 這篇內容背後比較像哪一個既有的 disinformation campaign？
• 就算對手改寫語句、換平台、換網站，核心敘事與關係脈絡能不能還是被追回同一組 threat actor？

這個轉向很重要。因為真正可運作的 CTI，從來都不只是替單篇樣本貼標，而是要能把分散、變形、跨平台的訊號重新拉回同一條活動線。作者其實是在把 disinformation 問題從 content moderation 視角，往 intelligence production 視角推進一步。

最有價值的 framing：把 Pyramid of Pain 從技術基礎設施搬到敘事基礎設施

我覺得這篇文章最漂亮的一點，是它直接借用了資安圈很熟的 Pyramid of Pain，但把它重新適配到 disinformation 場景。

原本在網路攻擊裡，低階 indicators 像 IP、domain、hash 很容易被對手替換；越往上走到 TTP、流程與行為模式，就越難洗掉。作者說，假新聞與錯假訊息其實也一樣：

• 網站網域可以換
• 社群帳號可以重建
• 貼文文案可以改寫
• 但核心敘事、角色關係、事件 framing 與依附的世界觀，通常沒那麼容易整個重做

這讓整篇 paper 最重要的主張變得很清楚：如果 CTI 要對付的是持續型 disinformation campaign，就不能只蒐集易變的 infrastructure indicator，而必須抽出較持久的 semantic indicator。

它提出的不是單純摘要，而是 concept-based CTI indicator

作者的方法核心，是把 unstructured fake news 內容轉成較結構化的 concept tuple。重點不只是抓 named entity，而是試著把：

• 誰在敘事中扮演什麼角色
• 誰和誰之間有什麼關係
• 哪個事件被怎麼詮釋
• 哪些 contextual dependency 一起組成某個固定 narrative

抽成可被比較、可被歸檔、也比較不受表面改寫影響的結構化 intelligence。這和一般「叫 LLM 幫我摘要文章」差很多。摘要還是在語句層；作者想做的，則更像是把 fake news 裡的敘事骨架抽出來，讓後續 attribution 與 variant detection 可以看語意結構的延續，而不是只看字面相似。

如果把它翻成資安人比較熟的語言，這有點像：

不要只把每篇假新聞當 IOC，而要把它當 campaign artifact，然後抽出比較像 TTP / narrative graph 的上位特徵。

FakeCTI dataset 的價值：把 fake news attribution 從零散案例拉成可評估資料集

另一個很實在的貢獻，是作者建立了 FakeCTI 資料集。根據論文，這個 dataset 收錄了 12,155 篇文章，連到 43 個 disinformation campaigns，並且附上對應的 campaign、threat actor 與傳播媒介等 metadata。

這件事的價值不在於「又多一個 dataset」，而在於它把原本常常停在案例式討論的領域，拉成比較能做 attribution evaluation 的基礎設施。沒有這種資料，你很難嚴格比較不同方法到底是在辨認內容真假、在記住語料風格，還是真的抓到 campaign-level pattern。

從研究與實務角度看，FakeCTI 至少補了三個洞：

• 讓 disinformation CTI 有比較像樣的 benchmark substrate
• 讓 attribution 問題能被拆成 campaign / actor / medium 等不同層次
• 讓「新變體能不能被拉回既有 campaign」這件事比較能被測

為什麼這件事對 CTI 很重要？因為真正難的是 variant tracking，不是單篇分類

很多人談 AI × CTI，還是容易把問題做成分類器：這篇 threat report 屬於哪個 ATT&CK technique、這個 IOC 像不像惡意、這篇文章是不是 misinformation。這些都不是沒用，但它們常常只處理單點判斷。

而這篇 paper 比較接近 CTI 真正痛點的地方，在於它試圖回答：

• 對手換了文本包裝後，同一個 campaign 還能不能被認出來？
• 當 infrastructure 與 surface artifact 都被洗過一輪，intel system 還剩什麼能追？
• 如果你要提早看出一個 narrative 又開始擴散，你是盯連結，還是盯語意骨架？

這些問題其實和資安裡很多 attribution / clustering / campaign tracking 問題是同構的。只是傳統網攻看的是 malware lineage、operator behavior、infrastructure churn；這篇看的是敘事主題、角色依附與概念關聯。

結果怎麼看：94% 很亮眼，但更重要的是它證明 high-level indicator 比 low-level artifact 更像長期路線

論文報告，在 fake news attribution 任務上，作者比較了多種技術，從傳統 NLP 到 fine-tuned LLM，最佳結果可達 94% accuracy。

這個分數本身當然不錯，但我覺得比數字更值得記住的是它背後代表的方向：當你把問題從字面比對往概念結構抽離，系統就比較有機會跨過改寫、重述與平台遷移造成的表面變形。

也就是說，這篇 paper 真正補上的，不只是「LLM 可以做 fake news attribution」，而是：CTI 若要追蹤持續型資訊操作，必須把 indicator 往 semantic / conceptual layer 提升。

這篇論文其實也在提醒資安 CTI 本身：很多 intel pipeline 仍然太執著於低階 artifact

雖然論文場景是 disinformation，但我認為它對更廣義的 CTI 也有提醒價值。因為很多安全團隊現在講 threat intelligence automation，實際上還是停在：

• 抓 domain、URL、hash、account
• 做 blacklist enrichment
• 做簡單的 entity extraction
• 靠 lexical similarity 找相近樣本

這些不是不該做，而是它們很容易變成一條永遠在追表層碎片的 pipeline。FakeCTI 這篇有意思的地方，是它提醒你：真正比較難被攻擊者重置的 intelligence，往往不在 artifact 本身，而在 artifact 背後那個重複出現的概念結構。

這個觀點不只適用在 fake news，也適用在：

• APT campaign 的 narrative framing
• 勒索軟體聲明與勒索信的話術演化
• 攻擊報告中的 procedure-level pattern
• 跨事件重複出現的 actor preference 與 operational semantics

如果把這篇放進 production 視角，它更像 intelligence normalization 的上游工程

我不會把這篇看成「假新聞偵測模型又進步了」而已。我會把它看成一種intel normalization / structuring layer：先把高度變形、容易改寫的自然語言敘事，壓成比較可持久比對的概念表示，再讓下游 attribution、cluster tracking、variant discovery 去接。

這點很像資安裡把亂七八糟的 log、報告與事件紀錄，先翻成 ATT&CK / STIX / graph representation 再繼續往下游跑。沒有這層 normalization，後面多半只能靠字面相似度賭運氣。

這篇論文的限制

當然，這篇 paper 也不是沒有風險與限制：

• 94% accuracy 很亮眼，但 dataset 內的 campaign 分布、敘事重疊程度與語料來源，仍會影響泛化能力
• 所謂 concept extraction 若過度依賴 LLM 對語意的主觀整理，可能會引入抽取一致性與可重現性問題
• disinformation campaign 在真實世界裡常常跨語言、跨文化、跨平台演化，這些因素會讓 concept normalization 更難
• 把高階敘事當 indicator 很合理，但若缺少可檢驗的 provenance 與 analyst review，系統也可能把本來相近、實則不同的 narrative 誤併在一起

所以我會把這篇定位成：方向非常對，但要進 production 還需要更強的 analyst-in-the-loop 與 provenance discipline。也就是說，概念型 indicator 很重要，但不能完全黑箱化。

總結

FakeCTI 這篇最值得記住的，不是它把 fake news 分得多準，而是它把 CTI 的焦點從低階、易變、好洗掉的外部殼，拉回比較難被重寫的敘事骨架與概念關係。

如果把它濃縮成一句話，我會這樣講：

真正能追住 disinformation campaign 的，可能不是那個今天又換掉的 domain 或帳號，而是那套反覆借屍還魂、怎麼改寫都還在的 narrative structure。

這也是它最像 CTI 論文，而不只是 fake news NLP paper 的地方。

免責聲明

本文由 AI 產生、整理與撰寫。