Un nuevo malware basado en Lua, llamado **LucidRook**, se está utilizando en campañas de spear-phishing dirigidas a organizaciones no gubernamentales y universidades en Taiwán. Investigadores de **Cisco Talos** atribuyen el malware a un grupo de amenazas rastreado internamente como UAT-10362, a quienes describen como un adversario capaz "con un oficio operativo maduro". LucidRook fue observado en ataques en octubre de 2025 que dependían de correos electrónicos de phishing que contenían archivos comprimidos protegidos con contraseña. Los investigadores identificaron dos cadenas de infección: una que utilizaba un archivo de acceso directo LNK que finalmente entregaba un "dropper" de malware llamado LucidPawn, y una cadena basada en EXE que aprovechaba un ejecutable falso de antivirus que suplantaba a **Trend Micro** Worry-Free Business Security Services. El ataque basado en LNK emplea documentos señuelo, como cartas gubernamentales elaboradas para parecer que se originan en el gobierno taiwanés, para desviar la atención del usuario.  Cisco Talos observó que LucidPawn descifra e implementa un ejecutable legítimo renombrado para imitar a **Microsoft Edge**, junto con una DLL maliciosa (DismCore.dll) para la carga lateral (sideloading) de LucidRook. ## Diseño Modular y Ejecución de Lua LucidRook destaca por su diseño modular y su entorno de ejecución Lua incorporado, lo que le permite recuperar y ejecutar payloads de segunda etapa como bytecode Lua. Este enfoque permite a los operadores actualizar la funcionalidad sin modificar el malware principal, al tiempo que limita la visibilidad forense. Este sigilo se incrementa aún más mediante una extensa ofuscación del código. "Incrustar el intérprete de Lua convierte efectivamente la DLL nativa en una plataforma de ejecución estable, al tiempo que permite al actor de amenazas actualizar o adaptar el comportamiento para cada objetivo o campaña actualizando el payload de bytecode Lua con un proceso de desarrollo más ligero y flexible", explica Cisco Talos. "Este enfoque también mejora la seguridad operativa, ya que la etapa Lua puede alojarse solo brevemente y eliminarse de C2 después de la entrega, y puede dificultar la reconstrucción post-incidente cuando los defensores recuperan solo el cargador sin el payload Lua entregado externamente". Talos también señala que el binario está fuertemente ofuscado en cadenas incrustadas, extensiones de archivo, identificadores internos y direcciones C2, lo que complica cualquier esfuerzo de ingeniería inversa. ## Reconocimiento y Exfiltración de Datos Durante su ejecución, LucidRook realiza reconocimiento del sistema, recopilando información como nombres de usuario y de equipo, aplicaciones instaladas y procesos en ejecución. Los datos se cifran utilizando RSA, se almacenan en archivos comprimidos protegidos con contraseña y se exfiltran a infraestructura controlada por el atacante a través de FTP. Al examinar LucidRook, los investigadores de Talos identificaron una herramienta relacionada llamada "LucidKnight", que probablemente se utiliza para el reconocimiento. Una característica notable de LucidKnight es su abuso de GMTP de **Gmail** para exfiltrar los datos recopilados, lo que sugiere que UAT-10362 mantiene un conjunto de herramientas flexible para satisfacer diversas necesidades operativas. Cisco Talos concluye con una confianza media que los ataques de LucidRook forman parte de una campaña de intrusión dirigida. Sin embargo, no pudieron capturar un bytecode Lua descifrable obtenido por LucidRook, por lo que no se conocen las acciones específicas tomadas después de la infección.