Un nouveau malware basé sur Lua, appelé **LucidRook**, est utilisé dans des campagnes de spear-phishing ciblant des organisations non gouvernementales et des universités à Taïwan. Les chercheurs de **Cisco Talos** attribuent ce malware à un groupe de menaces suivi en interne sous l'identifiant UAT-10362, qu'ils décrivent comme un adversaire compétent "doté d'un savoir-faire opérationnel mature". LucidRook a été observé dans des attaques en octobre 2025 qui reposaient sur des e-mails de phishing contenant des archives protégées par mot de passe. Les chercheurs ont identifié deux chaînes d'infection : l'une utilisant un fichier raccourci LNK qui a finalement livré un dropper de malware appelé LucidPawn, et une chaîne basée sur EXE qui a exploité un exécutable antivirus factice imitant Worry-Free Business Security Services de **Trend Micro**. L'attaque basée sur LNK utilise des documents d'appât, tels que des lettres gouvernementales conçues pour paraître émaner du gouvernement taïwanais, afin de détourner l'attention de l'utilisateur.  Cisco Talos a observé que LucidPawn déchiffre et déploie un exécutable légitime renommé pour imiter **Microsoft Edge**, ainsi qu'une DLL malveillante (DismCore.dll) pour le sideloading de LucidRook. ## Conception modulaire et exécution Lua LucidRook se distingue par sa conception modulaire et son environnement d'exécution Lua intégré, qui lui permet de récupérer et d'exécuter des payloads de second étage sous forme de bytecode Lua. Cette approche permet aux opérateurs de mettre à jour les fonctionnalités sans modifier le malware principal, tout en limitant la visibilité forensique. Cette furtivité est encore accrue par une obfuscation extensive du code. « L'intégration de l'interpréteur Lua transforme efficacement la DLL native en une plateforme d'exécution stable tout en permettant à l'acteur de la menace de mettre à jour ou d'adapter le comportement pour chaque cible ou campagne en mettant à jour le payload de bytecode Lua avec un processus de développement plus léger et plus flexible », explique Cisco Talos. « Cette approche améliore également la sécurité opérationnelle, car l'étape Lua peut être hébergée brièvement et supprimée du C2 après la livraison, et elle peut entraver la reconstruction post-incident lorsque les défenseurs ne récupèrent que le chargeur sans le payload Lua livré extérieurement. » Talos note également que le binaire est fortement obfusqué à travers les chaînes intégrées, les extensions de fichiers, les identifiants internes et les adresses C2, compliquant ainsi les efforts de rétro-ingénierie. ## Reconnaissance et exfiltration de données Lors de son exécution, LucidRook effectue une reconnaissance système, collectant des informations telles que les noms d'utilisateur et d'ordinateur, les applications installées et les processus en cours d'exécution. Les données sont chiffrées à l'aide de RSA, stockées dans des archives protégées par mot de passe et exfiltrées vers une infrastructure contrôlée par l'attaquant via FTP. En examinant LucidRook, les chercheurs de Talos ont identifié un outil connexe nommé « LucidKnight », qui est probablement utilisé pour la reconnaissance. Une caractéristique notable de LucidKnight est son abus de **Gmail** GMTP pour exfiltrer les données collectées, suggérant que UAT-10362 maintient une boîte à outils flexible pour répondre à divers besoins opérationnels. Cisco Talos conclut avec une confiance moyenne que les attaques LucidRook font partie d'une campagne d'intrusion ciblée. Cependant, ils n'ont pas pu capturer un bytecode Lua déchiffrable récupéré par LucidRook, de sorte que les actions spécifiques entreprises après l'infection ne sont pas connues.