Pesquisadores da **Cisco Talos** descobriram uma campanha direcionada contra organizações não governamentais (ONGs) e universidades taiwanesas, atribuindo a atividade a um cluster de ameaças anteriormente não documentado que eles nomearam **UAT-10362**. Os ataques envolvem a implantação de um novo malware baseado em Lua chamado **LucidRook**. ### LucidRook: Um Stager de Malware Sofisticado De acordo com **Ashley Shen**, pesquisadora da Cisco Talos, "LucidRook é um stager sofisticado que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL) para baixar e executar payloads de bytecode Lua em estágio". O malware utiliza técnicas avançadas de ofuscação para evadir detecção e análise. A Talos descobriu essa atividade em outubro de 2025, observando que os ataques utilizam arquivos RAR ou 7-Zip como iscas para entregar um dropper chamado **LucidPawn**, que então abre um arquivo de isca e executa o LucidRook. Uma característica chave desse conjunto de intrusão é sua dependência de side-loading de DLL para executar tanto o LucidPawn quanto o LucidRook. ### Cadeias de Infecção: Arquivos LNK e Antivírus Falsos Existem duas cadeias de infecção primárias observadas que levam ao LucidRook: * **Cadeia de infecção baseada em LNK:** Este método envolve um arquivo Windows Shortcut (LNK) disfarçado com um ícone de PDF. Ao ser clicado, o arquivo LNK executa um script PowerShell que roda um binário legítimo do Windows (`index.exe`) presente no arquivo. Este binário então faz side-loading da DLL maliciosa (LucidPawn), que, por sua vez, usa side-loading de DLL para executar o LucidRook. * **Cadeia de infecção baseada em EXE:** Este método usa um executável que se disfarça como um programa antivírus da **Trend Micro** (`Cleanup.exe`). Ao ser iniciado, ele atua como um dropper .NET que emprega side-loading de DLL para executar o LucidRook. Após a execução, o binário exibe uma mensagem alegando que o processo de limpeza foi concluído.  ### Detalhes Técnicos do LucidRook LucidRook é uma DLL do Windows de 64 bits que é fortemente ofuscada para dificultar a análise e a detecção. Suas funcionalidades principais incluem: * **Coleta de Informações do Sistema:** Coleta de informações do sistema e exfiltração para um servidor externo. * **Execução de Payload Lua:** Recebimento de um payload de bytecode Lua criptografado, descriptografando-o e executando-o usando o interpretador Lua 5.4.8 embutido. A Talos também observou que os atores de ameaça abusaram de um serviço Out-of-band Application Security Testing (OAST) e comprometeram servidores FTP para infraestrutura de comando e controle (C2). ### Geofencing e Reconhecimento LucidPawn incorpora uma técnica de geofencing que verifica o idioma da interface do usuário do sistema. Ele só continua a execução se o idioma corresponder a ambientes em chinês tradicional associados a Taiwan ("zh-TW"). Isso limita o escopo do ataque às vítimas pretendidas e ajuda a evitar a detecção em sandboxes de análise comuns. Adicionalmente, uma variante do dropper implanta uma DLL do Windows de 64 bits chamada **LucidKnight**, que pode exfiltrar informações do sistema via Gmail para um endereço de e-mail temporário. A presença dessa ferramenta de reconhecimento sugere que o adversário pode estar usando-a para perfilar alvos antes de implantar o LucidRook. ### UAT-10362: Um Ator de Ameaça Sofisticado Embora muito permaneça desconhecido sobre o UAT-10362, é evidente que eles são um ator de ameaça sofisticado que realiza campanhas direcionadas com foco em flexibilidade, furtividade e tarefas específicas da vítima. A Talos conclui que o design modular multilíngue, os recursos em camadas anti-análise, o manuseio de payload focado em furtividade e a dependência de infraestrutura comprometida ou pública indicam que o UAT-10362 é um ator de ameaça capaz com um ofício operacional maduro.