Bedrohungsakteure sind Einzelpersonen, Gruppen oder Organisationen, die mit böswilligen Absichten handeln. Bedrohungsakteure gelten für STIX 2.x.

Ein Bedrohungsakteur ist kein Angriffssatz, kann aber im Laufe der Zeit verschiedene Angriffssätze, Gruppen oder Organisationen unterstützen oder mit ihnen verbunden sein.

Bedrohungsakteure verwenden ihre Ressourcen und die Ressourcen eines Angriffssatzes, um Angriffe durchzuführen und Kampagnen gegen Ziele auszuführen.

Sie können Bedrohungsakteure anhand ihrer Beweggründe, Fähigkeiten, Ziele, ihres Reifegrads, vergangener Aktivitäten, der Ressourcen, auf die sie Zugriff haben, und ihrer Rolle in der Organisation identifizieren.