11月12日资安业者BlackBerry指出，他们发现使用iOS间谍软件LightSpy的攻击者身分，就是恶名昭彰的中国黑客组织APT41，并指出这些黑客也锁定政治人物及记者的电脑，打造Windows恶意程序框架DeepData Framework，事隔数日，有其他研究人员公布新的调查结果。

资安业者Volexity指出，他们在今年7月，于运行Fortinet的VPN用户端的Windows电脑里，察觉零时差漏洞（目前尚未登记CVE编号），此为可导致帐密泄漏的弱点，攻击者可借由用户端FortiClient的处理进程，从内存内窃取帐密数据。

研究人员从分析恶意程序DeepData的过程里，发现黑客利用这项漏洞窃取FortiClient帐密数据，而这项工作他们是通过其中一项插件程序达成。研究人员将这项漏洞利用的情况，于7月18日通报，Fortinet于24日确认漏洞，但截至目前为止，研究人员不确定Fortinet是否已经着手修补。

针对恶意程序的来历，研究人员认为开发者是中国国家级黑客组织BrazenBamboo，这组人马与LightSpy、DeepData、DeepPost恶意软件家族有所联系。他们也揭露黑客设计的部分攻击流程，包含如何利用FortiClient漏洞，以及得逞后通过DeepPost外传数据的手段。

研究人员注意到DeepData的原因，主要是发现名为deepdata.zip的压缩档，当中包含了恶意程序加载工具data.dll、DeepData的虚拟文件系统（VPS）文件mod.dat，以及使用说明文件readme.txt。值得留意的是，攻击者必须使用命令行才能运行恶意程序。

其中，DeepData的核心组件，就在上述的VPS文件里面，攻击者一旦下达命令，恶意程序加载工具就会将存放于VPS的组件解开并运行。而这些内核组件的内容，包含能加载插件程序的Shell Code、事件记录收集工具，以及收集微信、飞书等即时通信平台数据的程序库。此外，DeepData也通过伪装成DirectX组件的程序库，监控受害电脑的Line、飞书、微信应用程序是否在运作。

而对于黑客使用的插件组件，研究人员一共确认了其中的12个，最特别应该就属前述提及针对FortiClient而来的工具，他们提及，黑客针对此VPN系统打造插件的情况，并不常见。

附带一提的是，研究人员发现BrazenBamboo也开发Window版LightSpy，但与macOS版有所不同，Windows版大部分的代码都直接在内存内运行，而能避免于电脑磁盘留下痕迹。