GoodPersonRAT 惡意軟體透過假冒 LetsVPN 安裝程式傳播

LetsVPN 的虛假 Windows 安裝程式被用來傳播 GoodPersonRAT,這是一種遠端存取木馬,使攻擊者能夠廣泛控制受感染的電腦。該惡意軟體包會安裝真實的、簽署的 LetsVPN 副本以減少懷疑,同時隱藏的惡意軟體鏈會在後台運行。

該活動針對的是尋找快聯 VPN(也稱為 LetsVPN)的人,這是一種通常與繞過中國互聯網限制相關的服務。根據ThreatLocker 報告,惡意 MSI 檔案在野外被發現並偽裝成 LetsVPN 安裝程式。

一旦激活,GoodPersonRAT 可以記錄擊鍵、監視剪貼簿、傳輸檔案、運行命令、控制螢幕、移動滑鼠、透過代理路由流量,並在重新啟動後保持持久性。這使得它對個人使用者和組織都構成嚴重威脅。

惡意安裝程式名為 Kuailian_win-setup.86.msi。它包含三個嵌入式組件,這些組件協同工作使感染看起來合法,同時隱藏基於標準文件的掃描的最終有效負載。

第一個元件是名為 LetsVPNLatest.exe 的真實 LetsVPN 安裝程式。它在惡意步驟完成後進行簽名和安裝,這有助於讓受害者相信安裝過程正常進行。

第二個元件是一個名為 promecefplugilte8.exe 的載入程式。它讀取名為 20260609.dat 的加密文件,分配可執行內存,並啟動解密最終 GoodPersonRAT 有效負載的 shellcode。

成分在攻擊中的角色
快聯_win-setup.86.msi啟動感染鏈的惡意 MSI 套件
LetsVPN最新版.exe合法簽署的 LetsVPN 安裝程式用作誘餌
promecefplugilte8.exe運行加密負載的 Shellcode 載入器
20260609.dat用於載入 GoodPersonRAT 的加密 shellcode 有效負載

為什麼攻擊更難注意到

攻擊成功是因為受害者仍然會收到他們期望的 VPN 軟體。可見的安裝減少了懷疑,而遠端存取木馬從記憶體加載,而不是將最終的有效負載直接寫入磁碟。

ThreatLocker 表示,最後階段會反射載入到記憶體中,不會寫入磁碟。在GoodPersonRAT 分析研究人員還指出,儘管捆綁的 LetsVPN 安裝程式是合法且簽署的,但外部 MSI 並未簽署。

這項細節很重要,因為一個捆綁檔案上的有效簽名並不保證完整安裝程式的安全。用戶仍然需要檢查他們實際下載和運行的安裝程序,而不僅僅是安裝後出現的應用程式。

  • 惡意活動開始後,VPN 會正常安裝。
  • 最終的有效負載從記憶體運行以減少檔案偽影。
  • RAT 使用多個命令和控制選項。
  • 惡意軟體透過服務和排程任務創建持久性。
  • 外層MSI檔案是使用者需要驗證的可疑物件。

GoodPersonRAT 可以做些什麼

GoodPersonRAT 為攻擊者提供了廣泛的遠端控制功能。它可以打開命令提示字元、將檔案移入和移出系統、捕獲擊鍵、讀取剪貼簿資料以及與桌面即時互動。

該惡意軟體還包括代理功能,這意味著攻擊者可以透過受感染的電腦路由流量。這可能會將受害者的電腦變成隱藏基礎設施鏈的一部分,並可能使惡意活動看起來來自受害者的網路。

ThreatLocker 的調查結果也表明,該惡意軟體的目標是 Telegram Desktop。它可以複製 Telegram 會話資料、修補 Telegram 可執行文件,並透過攻擊者控制的基礎設施重新路由應用程式流量。

能力受害者面臨的風險
鍵盤記錄密碼、訊息和其他類型的資料可能被捕獲
剪貼簿監控複製的密碼、加密地址或敏感文字可能被盜
遠端桌面控制攻擊者可以監視和控制受感染的機器
文件傳輸文件可以上傳或竊取
代理商受害者的連線可用於隱藏攻擊者流量

LetsVPN 用戶已成為詐騙目標

GoodPersonRAT 活動符合攻擊者濫用華語社群 VPN 工具需求的更廣泛模式。詐騙者經常使用熟悉的 VPN 品牌、虛假折扣管道、複製徽標和非官方下載優惠來使惡意或詐騙頁面看起來值得信賴。

LetsVPN先前曾就社群平台上的針對性詐騙向用戶發出警告,包括虛假低價優惠和虛假下載聲明。在其針對中國 VPN 用戶的詐騙警告,LetsVPN建議用戶僅從其官方網站或官方應用程式商店下載軟體。

該指南在這裡尤其重要,因為 GoodPersonRAT 活動依賴虛假安裝程序,而不是合法 VPN 應用程式本身的弱點。

  1. 僅使用 LetsVPN 官方網站或受信任的應用程式商店。
  2. 避免透過 Telegram 群組、論壇、廣告或未知鏡像共享安裝程式。
  3. 在運行之前檢查安裝程式檔案是否已簽署。
  4. 請謹慎對待異常便宜或「特殊管道」的 VPN 服務。
  5. 在工作設備上開啟可疑安裝程式之前,請向安全團隊回報。

與早期虛假 VPN 惡意軟體活動的聯繫

這並不是惡意軟體作業中第一次出現以 LetsVPN 為主題的假安裝程式。 2025 年,Rapid7 記錄了一次單獨的活動,該活動使用 VPN 和瀏覽器軟體的木馬安裝程式來部署 Winos v4.0。

快速7分析描述了與簽名誘餌應用程式、內存駐留有效負載、反射加載、持久性機制和基礎設施捆綁在一起的虛假安裝程序,這些安裝程序似乎專注於中文環境。

在新的 ThreatLocker 報告中,GoodPersonRAT 是一個獨立的惡意軟體家族,但使用虛假 VPN 安裝程式顯示了相同的社會工程主題。攻擊者知道,嘗試存取被封鎖服務的用戶可能會緊急尋找有效的 VPN 安裝程序,並可能接受來自非官方管道的文件。

活動假冒軟體誘惑觀察到的有效載荷
ThreatLocker 報告LetsVPN或快聯VPN安裝程序好人鼠
Rapid7 報告LetsVPN、QQBrowser、Telegram 和 Chrome 安裝程序Winos v4.0 活動元件

如何降低風險

最安全的應對措施是完全避免使用非官方安裝程序。假冒的 VPN 設定檔看起來很有說服力,尤其是當它隨後安裝合法應用程式時,因此用戶應將下載來源視為第一個安全檢查。

CISA 解釋說,數位簽章有助於驗證軟體的來源和完整性。它是數位簽名指導指出簽名可以幫助確認內容來自預期的寄件者並且在簽名後沒有更改。

然而,這次活動也顯示了隨意簽名檢查的限制。合法簽署的應用程式可以打包在未簽署的惡意安裝程式中,因此使用者和管理員需要檢查完整的安裝程式包,而不僅僅是最後安裝的可見應用程式。

  • 僅從官方供應商頁面或官方應用程式商店下載 VPN 軟體。
  • 當軟體供應商正常簽署 Windows 軟體包時,拒絕未簽署的安裝程式。
  • 在執行之前使用端點保護掃描可疑檔案。
  • 監視新的計劃任務、未知服務和意外的代理設定。
  • 如果機器可能運行了假安裝程序,請重設密碼。
  • 如果 Telegram 資料可能已暴露,請重新安裝 Telegram Desktop 並撤銷活動會話。

妥協的關鍵指標

管理員可以使用以下指標來支援威脅搜尋和事件回應。應謹慎處理這些指標,因為惡意軟體基礎設施可能會快速變化。

下面更正後的雜湊值遵循 ThreatLocker 報告。 Rapid7 報告木馬安裝程式也強調了為什麼團隊應該透過規劃任務監控虛假 VPN 設定檔、記憶體駐留載入程式和持久性。

類型指標描述
檔案名稱快聯_win-setup.86.msi惡意安裝程式
檔案名稱promecefplugilte8.exe外殼程式碼載入器
檔案名稱20260609.dat加密的 shellcode 有效負載
檔案名稱電報.exe修補 Telegram Desktop 執行檔
SHA-2563AD0B2AA1AFE79E95D20AECD1599B524D4D1D5D0972A23D54F778E145EA350C8快聯_win-setup.86.msi
SHA-25646E2AF62358205AC114C047D878A22258AE448B7BD140FCC5B5F9444D008364Fpromecefplugilte8.exe
SHA-256EC3D4D6B0B35E1013C12E0044A8B202D0114809587AA97D83CBAFF68C0E96B8120260609.dat
SHA-2564F34E002C9C5916D35C3E32435960E6EF1F8ADFBFE324983F2AAEB09CB8F2D73修補 telegram.exe

用戶現在應該做什麼

任何最近從非官方來源下載過 LetsVPN 或 Kuailian VPN 安裝程式的人都應該停止使用機器進行敏感活動,直到經過檢查為止。這包括銀行、工作登入、訊息應用程式和加密帳戶。

安全團隊應檢查端點日誌中的安裝程式名稱、載入程式名稱、可疑計劃任務、未知服務以及與列出的命令和控制網域或 IP 位址的連線。如果懷疑 GoodPersonRAT,團隊應在清理之前隔離該設備並保留證據。

實際教訓很簡單:VPN 工具是很有吸引力的模仿目標,因為使用者通常可以快速安裝它們,並且可以從任何看起來有效的來源安裝它們。更安全的方法是信任官方下載路徑,驗證安裝程序,並將未簽署的安裝檔案視為嚴重警告信號。用戶還可以關注 LetsVPN 的官方詐騙指南和 CISA 的簽名驗證指導在運行來自外部託管應用程式商店的軟體之前。

FAQ

什麼是 GoodPersonRAT?

GoodPersonRAT 是一種遠端存取特洛伊木馬,攻擊者可以透過它控制受感染的 Windows 電腦。它可以捕獲擊鍵、監視剪貼簿、傳輸檔案、控制螢幕、運行命令以及透過代理程式路由流量。

假冒 LetsVPN 安裝程式如何感染用戶?

假安裝程式包含真實簽署的 LetsVPN 安裝程式以及隱藏的惡意軟體元件。惡意行為開始後會安裝合法的 VPN,從而使安裝看起來正常,而 GoodPersonRAT 會載入到記憶體中。

真正的 LetsVPN 應用程式是惡意的嗎?

該報告描述了一個虛假安裝程序,該安裝程序將合法簽署的 LetsVPN 安裝程序與惡意軟體捆綁在一起。風險來自木馬安裝程式包,而不是透過官方管道下載應用程式。

如果我執行了Kuailian_win-setup.86.msi該怎麼辦?

中斷裝置與網路的連接,避免輸入密碼,執行端點安全掃描,檢查可疑服務和排程任務,從乾淨的裝置重設密碼,以及檢查 Telegram 工作階段(如果安裝了 Telegram Desktop)。

使用者如何避免假冒 VPN 安裝程式?

用戶應僅從官方供應商網站或受信任的應用程式商店下載 VPN 軟體,避免透過非官方群組或廣告共享文件,並驗證他們運行的確切安裝程式是否具有有效的數位簽名。