Нов малициозен софтвер наречен LucidRook се користи во насочени напади врз невладини организации и универзитети во Тајван.

Истражувачите од Cisco Talos го припишуваат овој малициозен софтвер на група за закани позната како UAT-10362, кои ги опишуваат како способни противници со зрела оперативна тактика.

LucidRook беше забележан во напади во октомври 2025 година, кои се потпираа на фишинг е-пораки со архиви заштитени со лозинка. Истражувачите идентификуваа две синџири на инфекција: еден користејќи LNK кратенка која на крајот испорачува малициозен софтвер наречен LucidPawn, и друг базиран на EXE кој користи лажен антивирусен извршен фајл што се претставува како Trend Micro Worry-Free Business Security Services.

Нападот базиран на LNK користи документи за одвлекување на вниманието, како што се писма од владата кои изгледаат како да потекнуваат од тајванската влада, за да го одвлечат вниманието на корисникот.

Cisco Talos забележа дека LucidPawn дешифрира и распоредува легитимен извршен фајл преименуван за да личи на Microsoft Edge, заедно со малициозен DLL (DismCore.dll) за странично вчитување на LucidRook.

LucidRook е забележителен по својот модуларен дизајн и вградена средина за извршување на Lua, што му овозможува да презема и извршува второстепени оптоварувања како Lua бајткод. Овој пристап им овозможува на операторите да ја ажурираат функционалноста без да го менуваат основниот малициозен софтвер, додека истовремено ја ограничуваат форензичката видливост. Оваа скриеност дополнително се зголемува со обемната обфускација на кодот.

„Вградувањето на Lua интерпретерот ефективно го претвора природниот DLL во стабилна извршна платформа, додека му овозможува на актерот на заканата да го ажурира или прилагоди однесувањето за секоја цел или кампања со ажурирање на Lua бајткодот со полесен и пофлексибилен процес на развој.“ — Cisco Talos

Овој пристап исто така ја подобрува оперативната безбедност, бидејќи Lua фазата може да се хостира само кратко и да се отстрани од C2 по испораката, и може да го отежне реконструирањето по инцидентот кога бранителите ќе го повратат само вчитувачот без надворешно доставениот Lua товар.

Talos исто така забележува дека бинарниот фајл е силно обфускиран преку вградени стрингови, екстензии на фајлови, внатрешни идентификатори и C2 адреси, што ги комплицира обидите за реверс инжиниринг.

За време на извршувањето, LucidRook врши системска извидничка активност, собирајќи информации како имиња на корисници и компјутери, инсталирани апликации и активни процеси. Податоците се криптираат користејќи RSA, се складираат во архиви заштитени со лозинка и се извлекуваат до инфраструктура контролирана од напаѓачите преку FTP.

Додека го испитуваа LucidRook, истражувачите од Talos идентификуваа поврзан алат наречен „LucidKnight“, кој веројатно се користи за извиднички активности. Една забележителна карактеристика на LucidKnight е неговата злоупотреба на Gmail GMTP за извлекување на собраните податоци, што сугерира дека UAT-10362 одржува флексибилен алат за различни оперативни потреби.

Cisco Talos заклучува со средна доверба дека нападите со LucidRook се дел од насочена кампања за упад. Сепак, не успеаја да фатат дешифриран Lua бајткод повлечен од LucidRook, па специфичните акции преземени по инфекцијата не се познати.