GoodPersonRAT 恶意软件通过假冒 LetsVPN 安装程序传播

LetsVPN 的虚假 Windows 安装程序被用来传播 GoodPersonRAT,这是一种远程访问木马,使攻击者能够广泛控制受感染的计算机。该恶意软件包会安装真实的、经过签名的 LetsVPN 副本以减少怀疑,同时隐藏的恶意软件链会在后台运行。

该活动针对的是寻找快联 VPN(也称为 LetsVPN)的人,这是一种通常与绕过中国互联网限制相关的服务。根据ThreatLocker 报告,恶意 MSI 文件在野外被发现并伪装成 LetsVPN 安装程序。

一旦激活,GoodPersonRAT 可以记录击键、监视剪贴板、传输文件、运行命令、控制屏幕、移动鼠标​​、通过代理路由流量,并在重新启动后保持持久性。这使得它对个人用户和组织都构成严重威胁。

恶意安装程序名为 Kuailian_win-setup.86.msi。它包含三个嵌入式组件,这些组件协同工作使感染看起来合法,同时隐藏基于标准文件的扫描的最终有效负载。

第一个组件是名为 LetsVPNLatest.exe 的真实 LetsVPN 安装程序。它在恶意步骤完成后进行签名和安装,这有助于让受害者相信安装过程正常进行。

第二个组件是一个名为 promecefplugilte8.exe 的加载程序。它读取名为 20260609.dat 的加密文件,分配可执行内存,并启动解密最终 GoodPersonRAT 有效负载的 shellcode。

成分在攻击中的角色
快联_win-setup.86.msi启动感染链的恶意 MSI 包
LetsVPN最新版.exe合法签名的 LetsVPN 安装程序用作诱饵
promecefplugilte8.exe运行加密负载的 Shellcode 加载器
20260609.dat用于加载 GoodPersonRAT 的加密 shellcode 有效负载

为什么攻击更难注意到

攻击成功是因为受害者仍然收到他们期望的 VPN 软件。可见的安装减少了怀疑,而远程访问木马从内存加载,而不是将最终的有效负载直接写入磁盘。

ThreatLocker 表示,最后阶段会反射加载到内存中,不会写入磁盘。在GoodPersonRAT 分析研究人员还指出,尽管捆绑的 LetsVPN 安装程序是合法且经过签名的,但外部 MSI 并未经过签名。

这一细节很重要,因为一个捆绑文件上的有效签名并不保证完整安装程序的安全。用户仍然需要检查他们实际下载和运行的安装程序,而不仅仅是安装后出现的应用程序。

  • 恶意活动开始后,VPN 会正常安装。
  • 最终的有效负载从内存运行以减少文件伪影。
  • RAT 使用多个命令和控制选项。
  • 恶意软件通过服务和计划任务创建持久性。
  • 外层MSI文件是用户需要验证的可疑对象。

GoodPersonRAT 可以做什么

GoodPersonRAT 为攻击者提供了广泛的远程控制功能。它可以打开命令提示符、将文件移入和移出系统、捕获击键、读取剪贴板数据以及与桌面实时交互。

该恶意软件还包括代理功能,这意味着攻击者可以通过受感染的计算机路由流量。这可能会将受害者的计算机变成隐藏基础设施链的一部分,并可能使恶意活动看起来来自受害者的网络。

ThreatLocker 的调查结果还表明,该恶意软件的目标是 Telegram Desktop。它可以复制 Telegram 会话数据、修补 Telegram 可执行文件,并通过攻击者控制的基础设施重新路由应用程序流量。

能力受害者面临的风险
键盘记录密码、消息和其他类型的数据可能被捕获
剪贴板监控复制的密码、加密地址或敏感文本可能被盗
远程桌面控制攻击者可以监视和控制受感染的机器
文件传输文件可以上传或窃取
代理受害者的连接可用于隐藏攻击者流量

LetsVPN 用户已成为诈骗目标

GoodPersonRAT 活动符合攻击者滥用华语社区 VPN 工具需求的更广泛模式。诈骗者经常使用熟悉的 VPN 品牌、虚假折扣渠道、复制徽标和非官方下载优惠来使恶意或欺诈页面看起来值得信赖。

LetsVPN此前曾就社交平台上的针对性诈骗向用户发出警告,包括虚假低价优惠和虚假下载声明。在其针对中国 VPN 用户的诈骗警告,LetsVPN建议用户仅从其官方网站或官方应用商店下载软件。

该指南在这里尤其重要,因为 GoodPersonRAT 活动依赖于虚假安装程序,而不是合法 VPN 应用程序本身的弱点。

  1. 仅使用 LetsVPN 官方网站或受信任的应用程序商店。
  2. 避免通过 Telegram 群组、论坛、广告或未知镜像共享安装程序。
  3. 在运行之前检查安装程序文件是否已签名。
  4. 请谨慎对待异常便宜或“特殊渠道”的 VPN 服务。
  5. 在工作设备上打开可疑安装程序之前,请向安全团队报告。

与早期虚假 VPN 恶意软件活动的联系

这并不是恶意软件操作中第一次出现以 LetsVPN 为主题的假冒安装程序。 2025 年,Rapid7 记录了一次单独的活动,该活动使用 VPN 和浏览器软件的木马安装程序来部署 Winos v4.0。

快速7分析描述了与签名诱饵应用程序、内存驻留有效负载、反射加载、持久性机制和基础设施捆绑在一起的虚假安装程序,这些安装程序似乎专注于中文环境。

在新的 ThreatLocker 报告中,GoodPersonRAT 是一个独立的恶意软件家族,但使用虚假 VPN 安装程序显示了相同的社会工程主题。攻击者知道,尝试访问被阻止服务的用户可能会紧急寻找有效的 VPN 安装程序,并可能接受来自非官方渠道的文件。

活动假冒软件诱惑观察到的有效载荷
ThreatLocker 报告LetsVPN或快联VPN安装程序好人鼠
Rapid7 报告LetsVPN、QQBrowser、Telegram 和 Chrome 安装程序Winos v4.0 活动组件

如何降低风险

最安全的应对措施是完全避免使用非官方安装程序。假冒的 VPN 设置文件看起来很有说服力,尤其是当它随后安装合法应用程序时,因此用户应将下载源视为第一个安全检查。

CISA 解释说,数字签名有助于验证软件的来源和完整性。它是数字签名指导指出签名可以帮助确认内容来自预期的发件人并且在签名后没有更改。

然而,这次活动也显示了随意签名检查的局限性。合法签名的应用程序可以打包在未签名的恶意安装程序中,因此用户和管理员需要检查完整的安装程序包,而不仅仅是最后安装的可见应用程序。

  • 仅从官方供应商页面或官方应用商店下载 VPN 软件。
  • 当软件供应商正常签署 Windows 软件包时,拒绝未签名的安装程序。
  • 在执行之前使用端点保护扫描可疑文件。
  • 监视新的计划任务、未知服务和意外的代理设置。
  • 如果机器可能运行了假安装程序,请重置密码。
  • 如果 Telegram 数据可能已暴露,请重新安装 Telegram Desktop 并撤销活动会话。

妥协的关键指标

管理员可以使用以下指标来支持威胁搜寻和事件响应。应谨慎处理这些指标,因为恶意软件基础设施可能会快速变化。

下面更正后的哈希值遵循 ThreatLocker 报告。 Rapid7 报告木马安装程序还强调了为什么团队应该通过计划任务监控虚假 VPN 设置文件、内存驻留加载程序和持久性。

类型指标描述
文件名快联_win-setup.86.msi恶意安装程序
文件名promecefplugilte8.exe外壳代码加载器
文件名20260609.dat加密的 shellcode 有效负载
文件名电报.exe修补 Telegram Desktop 可执行文件
SHA-2563AD0B2AA1AFE79E95D20AECD1599B524D4D1D5D0972A23D54F778E145EA350C8快联_win-setup.86.msi
SHA-25646E2AF62358205AC114C047D878A22258AE448B7BD140FCC5B5F9444D008364Fpromecefplugilte8.exe
SHA-256EC3D4D6B0B35E1013C12E0044A8B202D0114809587AA97D83CBAFF68C0E96B8120260609.dat
SHA-2564F34E002C9C5916D35C3E32435960E6EF1F8ADFBFE324983F2AAEB09CB8F2D73修补 telegram.exe

用户现在应该做什么

任何最近从非官方来源下载过 LetsVPN 或 Kuailian VPN 安装程序的人都应该停止使用该机器进行敏感活动,直到经过检查。这包括银行、工作登录、消息应用程序和加密帐户。

安全团队应检查端点日志中的安装程序名称、加载程序名称、可疑计划任务、未知服务以及与列出的命令和控制域或 IP 地址的连接。如果怀疑 GoodPersonRAT,团队应在清理之前隔离该设备并保留证据。

实际教训很简单:VPN 工具是很有吸引力的模仿目标,因为用户通常可以快速安装它们,并且可以从任何看起来有效的来源安装它们。更安全的方法是信任官方下载路径,验证安装程序,并将未签名的安装文件视为严重警告信号。用户还可以关注 LetsVPN 的官方诈骗指南和 CISA 的签名验证指导在运行来自外部托管应用程序商店的软件之前。

FAQ

什么是 GoodPersonRAT?

GoodPersonRAT 是一种远程访问特洛伊木马,攻击者可以通过它控制受感染的 Windows 计算机。它可以捕获击键、监视剪贴板、传输文件、控制屏幕、运行命令以及通过代理路由流量。

假冒 LetsVPN 安装程序如何感染用户?

假安装程序包含真实签名的 LetsVPN 安装程序以及隐藏的恶意软件组件。恶意行为开始后会安装合法的 VPN,从而使安装看起来正常,而 GoodPersonRAT 会加载到内存中。

真正的 LetsVPN 应用程序是恶意的吗?

该报告描述了一个虚假安装程序,该安装程序将合法签名的 LetsVPN 安装程序与恶意软件捆绑在一起。风险来自木马安装程序包,而不是通过官方渠道下载应用程序。

如果我运行了Kuailian_win-setup.86.msi该怎么办?

断开设备与网络的连接,避免输入密码,运行端点安全扫描,检查可疑服务和计划任务,从干净的设备重置密码,以及检查 Telegram 会话(如果安装了 Telegram Desktop)。

用户如何避免假冒 VPN 安装程序?

用户应仅从官方供应商网站或受信任的应用程序商店下载 VPN 软件,避免通过非官方群组或广告共享文件,并验证他们运行的确切安装程序是否具有有效的数字签名。