Eine neue Lua-basierte Malware namens **LucidRook** wird in Spear-Phishing-Kampagnen eingesetzt, die sich gegen Nichtregierungsorganisationen und Universitäten in Taiwan richten. **Cisco Talos**-Forscher schreiben die Malware einer intern als UAT-10362 verfolgten Bedrohungsgruppe zu, die sie als fähigen Gegner „mit ausgereiftem operativen Handwerk“ beschreiben. LucidRook wurde im Oktober 2025 bei Angriffen beobachtet, die auf Phishing-E-Mails mit passwortgeschützten Archiven setzten. Die Forscher identifizierten zwei Infektionsketten: eine nutzte eine LNK-Verknüpfungsdatei, die letztendlich einen Malware-Dropper namens LucidPawn lieferte, und eine EXE-basierte Kette, die eine gefälschte Antiviren-Executable nutzte, die **Trend Micro** Worry-Free Business Security Services nachahmte. Der LNK-basierte Angriff verwendet Lock-Dokumente, wie z. B. Regierungsschreiben, die so gestaltet sind, dass sie vom taiwanischen Regierung stammen, um die Aufmerksamkeit des Benutzers abzulenken.  Cisco Talos beobachtete, dass LucidPawn eine legitime ausführbare Datei entschlüsselt und bereitstellt, die umbenannt wurde, um **Microsoft Edge** zu imitieren, zusammen mit einer bösartigen DLL (DismCore.dll) zum Sideloading von LucidRook. ## Modulares Design und Lua-Ausführung LucidRook zeichnet sich durch sein modulares Design und seine integrierte Lua-Ausführungsumgebung aus, die es ihm ermöglicht, Second-Stage-Payloads als Lua-Bytecode abzurufen und auszuführen. Dieser Ansatz ermöglicht es den Betreibern, die Funktionalität zu aktualisieren, ohne die Kern-Malware zu ändern, und schränkt gleichzeitig die forensische Sichtbarkeit ein. Diese Tarnung wird durch umfangreiche Verschleierung des Codes weiter erhöht. „Die Einbettung des Lua-Interpreters verwandelt die native DLL effektiv in eine stabile Ausführungsplattform, während der Bedrohungsakteur das Verhalten für jedes Ziel oder jede Kampagne durch Aktualisierung der Lua-Bytecode-Payload mit einem leichteren und flexibleren Entwicklungsprozess aktualisieren oder anpassen kann“, erklärt Cisco Talos. „Dieser Ansatz verbessert auch die operative Sicherheit, da die Lua-Phase nur kurz gehostet und nach der Bereitstellung von C2 entfernt werden kann, und er kann die Rekonstruktion nach einem Vorfall erschweren, wenn die Verteidiger nur den Loader ohne die extern bereitgestellte Lua-Payload wiederherstellen.“ Talos stellt außerdem fest, dass die Binärdatei über eingebettete Strings, Dateierweiterungen, interne Bezeichner und C2-Adressen stark verschleiert ist, was jegliche Reverse-Engineering-Bemühungen erschwert. ## Aufklärung und Datendiebstahl Während seiner Ausführung führt LucidRook Systemaufklärung durch und sammelt Informationen wie Benutzer- und Computernamen, installierte Anwendungen und laufende Prozesse. Die Daten werden mit RSA verschlüsselt, in passwortgeschützten Archiven gespeichert und über FTP an vom Angreifer kontrollierte Infrastrukturen exfiltriert. Bei der Untersuchung von LucidRook identifizierten Talos-Forscher ein verwandtes Tool namens „LucidKnight“, das wahrscheinlich zur Aufklärung verwendet wird. Ein bemerkenswertes Merkmal von LucidKnight ist der Missbrauch von **Gmail** GMTP zur Exfiltration gesammelter Daten, was darauf hindeutet, dass UAT-10362 über ein flexibles Toolkit verfügt, um unterschiedliche operative Anforderungen zu erfüllen. Cisco Talos schließt mit mittlerer Zuversicht, dass die LucidRook-Angriffe Teil einer gezielten Einbruchskampagne sind. Sie konnten jedoch keinen entschlüsselbaren Lua-Bytecode abfangen, der von LucidRook abgerufen wurde, sodass die spezifischen Aktionen nach der Infektion unbekannt sind.