Un corro de amenazas no documentado previamente denominado UAT-10362 se ha atribuido a campañas de phishing dirigidas a organizaciones no gubernamentales (ONG) taiwanesas y universidades sospechosas para implementar un nuevo malware basado en Lua llamado LucidRook.
“LucidRook es un sofisticado escena que incorpora un intérprete de Lua y bibliotecas compiladas en Rust interiormente de una biblioteca de enlaces dinámicos (DLL) para descargar y ejecutar cargas aperos de código de bytes de Lua”, dijo Ashley Shen, investigadora de Cisco Talos.
La compañía de ciberseguridad dijo que descubrió la actividad en octubre de 2025, y el ataque utilizó señuelos de archivos RAR o 7-Zip para entregar un dosificador llamado LucidPawn, que luego abre un archivo señuelo y lanceta LucidRook. Una característica trascendente del conjunto de intrusión es el uso de carga colateral de DLL para ejecutar tanto LucidPawn como LucidRook.
Hay dos cadenas de infección distintas que conducen a LucidRook, una que utiliza un archivo de paso directo de Windows (LNK) con un icono de PDF y otra que involucra un ejecutable que se hace sobrevenir por un software antivirus de Trend Micro. La secuencia completa se enumera a continuación:
- Condena de infección basada en LNK – Cuando el heredero hace clic en el archivo LNK, asumiendo que es un documento PDF, ejecuta un script de PowerShell para ejecutar un binario cierto de Windows (“index.exe”) presente en el archivo, que luego descarga una DLL maliciosa (es proponer, LucidPawn). El cuentagotas, por su parte, emplea una vez más la carga colateral de DLL para ejecutar LucidRook.
- Condena de infección basada en EXE – Cuando se inicia el supuesto software Trend Micro (“Cleanup.exe”) interiormente del archivo 7-Zip, actúa como un simple cuentagotas .NET que emplea carga colateral de DLL para ejecutar LucidRook. Tras la ejecución, el binario muestra un mensaje que indica que el proceso de higienización se ha completado.
LucidRook, una DLL de Windows de 64 bits, está muy ofuscada para impedir el estudio y la detección. Su funcionalidad tiene dos vertientes: recopila información del sistema y la filtra a un servidor forastero, y luego recibe una carga útil de código de bytes de Lua cifrada para su posterior descifrado y ejecución en la máquina comprometida utilizando el intérprete integrado Lua 5.4.8.
“En entreambos casos, el actor abusó de un servicio de pruebas de seguridad de aplicaciones fuera de cuadrilla (OAST) y comprometió servidores FTP para la infraestructura de comando y control (C2)”, dijo Talos.
LucidPawn asimismo implementa una técnica de geofencing que consulta específicamente el idioma de la interfaz de heredero del sistema y continúa la ejecución solo si coincide con los entornos de chino tradicional asociados con Taiwán (“zh-TW”). Esto ofrece dos ventajas, ya que limita la ejecución a la geogonia de la víctima prevista y evita ser afectado en entornos limitados de estudio comunes.
Por otra parte, se ha descubierto que al menos una modificación del dropper implementa una DLL de Windows de 64 bits citación LucidKnight que es capaz de filtrar información del sistema a través de Gmail a una dirección de correo electrónico temporal. La presencia de la utensilio de registro unido a LucidRook sugiere que el adversario opera un conjunto de herramientas escalonado, potencialmente usando LucidKnight para perfilar objetivos ayer de entregar el escena LucidRook.
No se sabe mucho sobre UAT-10362 en esta etapa, lejos del hecho de que probablemente sea un actor de amenazas sofisticado cuyas campañas son dirigidas en división de oportunistas, al tiempo que priorizan la flexibilidad, el sigilo y las tareas específicas para las víctimas.
“El diseño modular en varios idiomas, las funciones antianálisis en capas, el manejo sigiloso de la carga útil del malware y la dependencia de una infraestructura pública o comprometida indican que UAT-10362 es un actor de amenazas capaz con un arte eficaz reflexivo”, dijo Talos.
