Bedrohungsakteure sind Einzelpersonen, Gruppen oder Organisationen, die mit böswilliger Absicht handeln. Bedrohungsakteure gelten für STIX 2.x.

Ein Bedrohungsakteur ist kein Angriffssatz, kann jedoch im Laufe der Zeit verschiedene Angriffssätze, Gruppen oder Organisationen unterstützen oder ihnen zugeordnet sein.

Bedrohungsakteure verwenden ihre Ressourcen und die Ressourcen eines Angriffssatzes, um Angriffe durchzuführen und Kampagnen für Ziele auszuführen.

Sie können Bedrohungsakteure anhand ihrer Motive, Fähigkeiten, Ziele, Raffinesse-Ebene, vergangener Aktivitäten, Ressourcen, auf die sie Zugriff haben, und ihre Rolle in der Organisation.