**Cisco Talos**の研究者たちは、台湾の非政府組織（NGO）および大学に対する標的型キャンペーンを発見し、この活動を**UAT-10362**と名付けられた、これまで文書化されていなかった脅威クラスターに帰属させています。この攻撃には、**LucidRook**と呼ばれる新しいLuaベースのマルウェアの展開が含まれます。 ### LucidRook: 洗練されたマルウェアステージャー Cisco Talosの研究者である**Ashley Shen**氏は、「LucidRookは、DLL（ダイナミックリンクライブラリ）内にLuaインタープリターとRustコンパイル済みライブラリを埋め込み、ステージングされたLuaバイトコードペイロードをダウンロードして実行する、洗練されたステージャーです」と述べています。このマルウェアは、検出と分析を回避するために高度な難読化技術を利用しています。 Talosは2025年10月にこの活動を発見し、攻撃はRARまたは7-Zipアーカイブをルアーとして使用し、**LucidPawn**と呼ばれるドロッパーを展開し、それがデコイファイルを開いてLucidRookを起動すると指摘しています。この侵入セットの主な特徴は、LucidPawnとLucidRookの両方を実行するためにDLLサイドローディングに依存していることです。 ### 感染チェーン: LNKファイルと偽のアンチウイルス LucidRookにつながる主な感染チェーンは2つ観察されています。 * **LNKベースの感染チェーン:** この手法では、PDFアイコンで偽装されたWindowsショートカット（LNK）ファイルが使用されます。クリックされると、LNKファイルはアーカイブ内に存在する正規のWindowsバイナリ（`index.exe`）を実行するPowerShellスクリプトを実行します。このバイナリは、次に悪意のあるDLL（LucidPawn）をサイドロードし、それがDLLサイドローディングを使用してLucidRookを実行します。 * **EXEベースの感染チェーン:** この手法では、**Trend Micro**のアンチウイルスプログラム（`Cleanup.exe`）を装った実行可能ファイルが使用されます。起動されると、DLLサイドローディングを使用してLucidRookを実行する.NETドロッパーとして機能します。実行後、バイナリはクリーンアッププロセスが完了したと主張するメッセージを表示します。  ### LucidRookの技術的詳細 LucidRookは、分析と検出を妨げるために高度に難読化された64ビットWindows DLLです。その主な機能は以下のとおりです。 * **システム情報収集:** システム情報を収集し、外部サーバーに流出させます。 * **Luaペイロード実行:** 暗号化されたLuaバイトコードペイロードを受信し、復号化して、埋め込まれたLua 5.4.8インタープリターを使用して実行します。 Talosはまた、攻撃者が帯域外アプリケーションセキュリティテスト（OAST）サービスを悪用し、コマンドアンドコントロール（C2）インフラストラクチャのために侵害されたFTPサーバーを使用していたことも指摘しています。 ### ジオフェンシングと偵察 LucidPawnは、システムUI言語をチェックするジオフェンシング技術を組み込んでいます。言語が台湾に関連する繁体字中国語環境（「zh-TW」）と一致する場合にのみ実行を続行します。これにより、攻撃の範囲が意図された被害者に限定され、一般的な分析サンドボックスでの検出を回避するのに役立ちます。 さらに、ドロッパーのバリアントの1つは、Gmail経由で一時的なメールアドレスにシステム情報を流出させることができる、**LucidKnight**という名前の64ビットWindows DLLを展開します。この偵察ツールの存在は、攻撃者がLucidRookを展開する前にターゲットをプロファイリングするために使用している可能性を示唆しています。 ### UAT-10362: 洗練された脅威アクター UAT-10362についてはまだ多くのことが不明ですが、彼らが柔軟性、ステルス性、および被害者固有のタスクに焦点を当てた標的型キャンペーンを実施する洗練された脅威アクターであることは明らかです。 Talosは、多言語のモジュラー設計、階層化されたアンチ分析機能、ステルスに焦点を当てたペイロード処理、および侵害されたインフラストラクチャまたは公開インフラストラクチャへの依存は、UAT-10362が成熟した運用上のトレードクラフトを持つ有能な脅威アクターであることを示していると結論付けています。