Investigadores de **Cisco Talos** han descubierto una campaña dirigida contra organizaciones no gubernamentales (ONG) y universidades taiwanesas, atribuyendo la actividad a un grupo de amenazas previamente no documentado al que han denominado **UAT-10362**. Los ataques implican el despliegue de un nuevo malware basado en Lua llamado **LucidRook**. ### LucidRook: Un Sofisticado Stager de Malware Según **Ashley Shen**, investigadora de Cisco Talos, "LucidRook es un stager sofisticado que incrusta un intérprete de Lua y bibliotecas compiladas en Rust dentro de una biblioteca de enlace dinámico (DLL) para descargar y ejecutar payloads de bytecode de Lua en etapas". El malware utiliza técnicas avanzadas de ofuscación para evadir la detección y el análisis. Talos descubrió esta actividad en octubre de 2025, señalando que los ataques utilizan archivos de archivo RAR o 7-Zip como señuelos para entregar un dropper llamado **LucidPawn**, que luego abre un archivo señuelo y lanza LucidRook. Una característica clave de este conjunto de intrusiones es su dependencia de la carga lateral de DLL para ejecutar tanto LucidPawn como LucidRook. ### Cadenas de Infección: Archivos LNK y Antivirus Falsos Se observan dos cadenas de infección principales que conducen a LucidRook: * **Cadena de infección basada en LNK:** Este método implica un archivo de acceso directo de Windows (LNK) disfrazado con un icono de PDF. Al hacer clic, el archivo LNK ejecuta un script de PowerShell que ejecuta un binario legítimo de Windows (`index.exe`) presente en el archivo. Este binario luego carga lateralmente la DLL maliciosa (LucidPawn), que a su vez utiliza la carga lateral de DLL para ejecutar LucidRook. * **Cadena de infección basada en EXE:** Este método utiliza un ejecutable que se hace pasar por un programa antivirus de **Trend Micro** (`Cleanup.exe`). Cuando se lanza, actúa como un dropper .NET que emplea la carga lateral de DLL para ejecutar LucidRook. Al ejecutarse, el binario muestra un mensaje que afirma que el proceso de limpieza ha finalizado.  ### Detalles Técnicos de LucidRook LucidRook es una DLL de Windows de 64 bits que está fuertemente ofuscada para dificultar el análisis y la detección. Sus funcionalidades principales incluyen: * **Recopilación de Información del Sistema:** Recopila información del sistema y la exfiltra a un servidor externo. * **Ejecución de Payload Lua:** Recibe un payload de bytecode Lua cifrado, lo descifra y lo ejecuta utilizando el intérprete de Lua 5.4.8 incrustado. Talos también señaló que los actores de amenaza abusaron de un servicio de Pruebas de Seguridad de Aplicaciones Fuera de Banda (OAST) y comprometieron servidores FTP para la infraestructura de comando y control (C2). ### Geofencing y Reconocimiento LucidPawn incorpora una técnica de geofencing que verifica el idioma de la interfaz de usuario del sistema. Solo continúa la ejecución si el idioma coincide con los entornos de chino tradicional asociados con Taiwán ("zh-TW"). Esto limita el alcance del ataque a las víctimas previstas y ayuda a evitar la detección en sandboxes de análisis comunes. Además, una variante del dropper despliega una DLL de Windows de 64 bits llamada **LucidKnight**, que puede exfiltrar información del sistema a través de Gmail a una dirección de correo electrónico temporal. La presencia de esta herramienta de reconocimiento sugiere que el adversario puede estar utilizándola para perfilar objetivos antes de desplegar LucidRook. ### UAT-10362: Un Actor de Amenaza Sofisticado Aunque aún queda mucho por saber sobre UAT-10362, es evidente que son un actor de amenaza sofisticado que lleva a cabo campañas dirigidas con un enfoque en la flexibilidad, el sigilo y la asignación de tareas específicas de la víctima. Talos concluye que el diseño modular multilingüe, las características de capa anti-análisis, el manejo de payloads centrado en el sigilo y la dependencia de infraestructura comprometida o pública indican que UAT-10362 es un actor de amenaza capaz con un oficio operativo maduro.