Forscher von **Cisco Talos** haben eine gezielte Kampagne gegen taiwanesische Nichtregierungsorganisationen (NGOs) und Universitäten aufgedeckt und die Aktivitäten einer bisher unbekannten Bedrohungsgruppe namens **UAT-10362** zugeordnet. Die Angriffe beinhalten den Einsatz einer neuen Lua-basierten Malware namens **LucidRook**. ### LucidRook: Ein ausgefeilter Malware-Stager Laut **Ashley Shen**, Forscherin bei Cisco Talos, ist "LucidRook ein ausgefeilter Stager, der einen Lua-Interpreter und in Rust kompilierte Bibliotheken in einer dynamischen Linkbibliothek (DLL) einbettet, um gestufte Lua-Bytecode-Payloads herunterzuladen und auszuführen." Die Malware nutzt fortschrittliche Verschleierungstechniken, um Erkennung und Analyse zu umgehen. Talos entdeckte diese Aktivitäten im Oktober 2025 und stellte fest, dass die Angriffe RAR- oder 7-Zip-Archive als Lockmittel verwenden, um einen Dropper namens **LucidPawn** zu liefern, der dann eine Schein-Datei öffnet und LucidRook startet. Ein Hauptmerkmal dieser Angriffsgruppe ist die Abhängigkeit von DLL-Side-Loading zur Ausführung von LucidPawn und LucidRook. ### Infektionsketten: LNK-Dateien und gefälschte Antivirenprogramme Es werden zwei primäre Infektionsketten beobachtet, die zu LucidRook führen: * **LNK-basierte Infektionskette:** Diese Methode beinhaltet eine Windows-Verknüpfungsdatei (LNK), die mit einem PDF-Symbol getarnt ist. Beim Anklicken führt die LNK-Datei ein PowerShell-Skript aus, das eine legitime Windows-Binärdatei (`index.exe`) aus dem Archiv ausführt. Diese Binärdatei lädt dann die bösartige DLL (LucidPawn) per Side-Loading, die wiederum LucidRook per Side-Loading ausführt. * **EXE-basierte Infektionskette:** Diese Methode verwendet eine ausführbare Datei, die sich als Antivirenprogramm von **Trend Micro** (`Cleanup.exe`) ausgibt. Beim Start fungiert sie als .NET-Dropper, der LucidRook per DLL-Side-Loading ausführt. Nach der Ausführung zeigt die Binärdatei eine Meldung an, dass der Bereinigungsprozess abgeschlossen ist.  ### Technische Details von LucidRook LucidRook ist eine 64-Bit-Windows-DLL, die stark verschleiert ist, um Analyse und Erkennung zu erschweren. Ihre Kernfunktionalitäten umfassen: * **Erfassung von Systeminformationen:** Sammlung von Systeminformationen und deren Exfiltration an einen externen Server. * **Ausführung von Lua-Payloads:** Empfang einer verschlüsselten Lua-Bytecode-Payload, Entschlüsselung und Ausführung mithilfe des eingebetteten Lua 5.4.8 Interpreters. Talos stellte außerdem fest, dass die Bedrohungsakteure einen Out-of-band Application Security Testing (OAST) Dienst missbrauchten und kompromittierte FTP-Server für die Command-and-Control (C2) Infrastruktur nutzten. ### Geofencing und Aufklärung LucidPawn integriert eine Geofencing-Technik, die die System-UI-Sprache überprüft. Die Ausführung wird nur fortgesetzt, wenn die Sprache mit traditionellen chinesischen Umgebungen übereinstimmt, die mit Taiwan assoziiert sind ("zh-TW"). Dies schränkt den Umfang des Angriffs auf die beabsichtigten Opfer ein und hilft, die Erkennung in gängigen Analyse-Sandboxes zu vermeiden. Zusätzlich setzt eine Variante des Droppers eine 64-Bit-Windows-DLL namens **LucidKnight** ein, die Systeminformationen über Gmail an eine temporäre E-Mail-Adresse exfiltrieren kann. Die Präsenz dieses Aufklärungswerkzeugs deutet darauf hin, dass der Angreifer es möglicherweise zur Profilerstellung von Zielen vor dem Einsatz von LucidRook verwendet. ### UAT-10362: Ein ausgefeilter Bedrohungsakteur Obwohl über UAT-10362 noch vieles unbekannt ist, ist klar, dass es sich um einen ausgefeilten Bedrohungsakteur handelt, der gezielte Kampagnen mit Fokus auf Flexibilität, Tarnung und opferspezifische Aufgaben durchführt. Talos schließt daraus, dass das mehrsprachige modulare Design, die mehrstufigen Anti-Analyse-Funktionen, die auf Tarnung ausgerichtete Payload-Verarbeitung und die Abhängigkeit von kompromittierter oder öffentlicher Infrastruktur darauf hindeuten, dass UAT-10362 ein fähiger Bedrohungsakteur mit ausgereiften operativen Fähigkeiten ist.