Um novo malware baseado em Lua, chamado **LucidRook**, está sendo usado em campanhas de spear-phishing visando organizações não governamentais e universidades em Taiwan. Pesquisadores da **Cisco Talos** atribuem o malware a um grupo de ameaças rastreado internamente como UAT-10362, que eles descrevem como um adversário capaz "com um 'tradecraft' operacional maduro". O LucidRook foi observado em ataques em outubro de 2025 que dependiam de e-mails de phishing contendo arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção, uma usando um arquivo de atalho LNK que, em última análise, entregou um dropper de malware chamado LucidPawn, e uma cadeia baseada em EXE que explorou um executável falso de antivírus se passando pelo Worry-Free Business Security Services da **Trend Micro**. O ataque baseado em LNK emprega documentos de isca, como cartas governamentais elaboradas para parecer que se originam do governo taiwanês, para desviar a atenção do usuário.  A Cisco Talos observou que o LucidPawn descriptografa e implanta um executável legítimo renomeado para imitar o **Microsoft Edge**, juntamente com uma DLL maliciosa (DismCore.dll) para sideloading do LucidRook. ## Design Modular e Execução Lua O LucidRook é notável por seu design modular e ambiente de execução Lua integrado, que permite recuperar e executar payloads de segundo estágio como bytecode Lua. Essa abordagem permite que os operadores atualizem a funcionalidade sem modificar o malware principal, ao mesmo tempo em que limita a visibilidade forense. Essa furtividade é ainda aumentada pela extensa ofuscação do código. "Incorporar o interpretador Lua efetivamente transforma a DLL nativa em uma plataforma de execução estável, permitindo que o ator de ameaça atualize ou adapte o comportamento para cada alvo ou campanha, atualizando o payload de bytecode Lua com um processo de desenvolvimento mais leve e flexível", explica a Cisco Talos. "Essa abordagem também melhora a segurança operacional, pois o estágio Lua pode ser hospedado apenas brevemente e removido do C2 após a entrega, e pode dificultar a reconstrução pós-incidente quando os defensores recuperam apenas o loader sem o payload Lua entregue externamente." A Talos também observa que o binário é fortemente ofuscado em strings incorporadas, extensões de arquivo, identificadores internos e endereços C2, complicando quaisquer esforços de engenharia reversa. ## Reconhecimento e Exfiltração de Dados Durante sua execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuário e computador, aplicativos instalados e processos em execução. Os dados são criptografados usando RSA, armazenados em arquivos compactados protegidos por senha e exfiltrados para infraestrutura controlada pelo atacante via FTP. Ao examinar o LucidRook, os pesquisadores da Talos identificaram uma ferramenta relacionada chamada "LucidKnight", que provavelmente é usada para reconhecimento. Uma característica notável do LucidKnight é o abuso do GMTP do **Gmail** para exfiltrar dados coletados, sugerindo que o UAT-10362 mantém um kit de ferramentas flexível para atender a diversas necessidades operacionais. A Cisco Talos conclui com média confiança que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada. No entanto, eles não conseguiram capturar um bytecode Lua descriptografável buscado pelo LucidRook, portanto, as ações específicas tomadas pós-infecção não são conhecidas.