Les chercheurs de **Cisco Talos** ont découvert une campagne ciblée contre des organisations non gouvernementales (ONG) et des universités taïwanaises, attribuant cette activité à un groupe de menaces jusqu'alors non documenté qu'ils ont nommé **UAT-10362**. Les attaques impliquent le déploiement d'un nouveau malware basé sur Lua appelé **LucidRook**. ### LucidRook : Un stager de malware sophistiqué Selon **Ashley Shen**, chercheuse chez Cisco Talos, "LucidRook est un stager sophistiqué qui intègre un interpréteur Lua et des bibliothèques compilées en Rust au sein d'une bibliothèque de liens dynamiques (DLL) pour télécharger et exécuter des payloads de bytecode Lua mis en scène." Le malware utilise des techniques d'obfuscation avancées pour échapper à la détection et à l'analyse. Talos a découvert cette activité en octobre 2025, notant que les attaques utilisent des archives RAR ou 7-Zip comme leurres pour livrer un dropper appelé **LucidPawn**, qui ouvre ensuite un fichier de décoy et lance LucidRook. Une caractéristique clé de cet ensemble d'intrusion est sa dépendance au chargement latéral de DLL pour exécuter LucidPawn et LucidRook. ### Chaînes d'infection : Fichiers LNK et faux antivirus Deux chaînes d'infection principales ont été observées menant à LucidRook : * **Chaîne d'infection basée sur LNK :** Cette méthode implique un fichier de raccourci Windows (LNK) déguisé avec une icône PDF. Lorsqu'il est cliqué, le fichier LNK exécute un script PowerShell qui lance un binaire Windows légitime (`index.exe`) présent dans l'archive. Ce binaire charge ensuite latéralement la DLL malveillante (LucidPawn), qui, à son tour, utilise le chargement latéral de DLL pour exécuter LucidRook. * **Chaîne d'infection basée sur EXE :** Cette méthode utilise un exécutable qui se fait passer pour un programme antivirus de **Trend Micro** (`Cleanup.exe`). Lorsqu'il est lancé, il agit comme un dropper .NET qui utilise le chargement latéral de DLL pour exécuter LucidRook. Après exécution, le binaire affiche un message indiquant que le processus de nettoyage est terminé.  ### Détails techniques de LucidRook LucidRook est une DLL Windows 64 bits fortement obfusquée pour entraver l'analyse et la détection. Ses fonctionnalités principales incluent : * **Collecte d'informations système :** Collecte d'informations système et exfiltration vers un serveur externe. * **Exécution de payloads Lua :** Réception d'un payload de bytecode Lua crypté, décryptage et exécution à l'aide de l'interpréteur Lua 5.4.8 intégré. Talos a également noté que les acteurs de la menace ont abusé d'un service de test de sécurité d'application hors bande (OAST) et ont compromis des serveurs FTP pour l'infrastructure de commande et de contrôle (C2). ### Géorepérage et reconnaissance LucidPawn intègre une technique de géorepérage qui vérifie la langue de l'interface utilisateur du système. Il ne continue l'exécution que si la langue correspond aux environnements chinois traditionnel associés à Taïwan ("zh-TW"). Cela limite la portée de l'attaque aux victimes visées et aide à éviter la détection dans les sandboxes d'analyse courantes. De plus, une variante du dropper déploie une DLL Windows 64 bits nommée **LucidKnight**, capable d'exfiltrer des informations système via Gmail vers une adresse e-mail temporaire. La présence de cet outil de reconnaissance suggère que l'adversaire pourrait l'utiliser pour profiler les cibles avant de déployer LucidRook. ### UAT-10362 : Un acteur de la menace sophistiqué Bien que beaucoup de choses restent inconnues sur UAT-10362, il est évident qu'il s'agit d'un acteur de la menace sophistiqué menant des campagnes ciblées avec un accent sur la flexibilité, la furtivité et les tâches spécifiques aux victimes. Talos conclut que la conception modulaire multilingue, les fonctionnalités d'anti-analyse en couches, la gestion des payloads axée sur la furtivité et la dépendance à l'infrastructure compromise ou publique indiquent que UAT-10362 est un acteur de la menace capable avec un savoir-faire opérationnel mature.