Un grupo de amenazas no documentado previamente denominado UAT-10362 se ha atribuido a campañas de phishing dirigidas a organizaciones no gubernamentales (ONG) taiwanesas y universidades sospechosas para implementar un nuevo malware basado en Lua llamado LucidRook.
«LucidRook es un sofisticado escenario que incorpora un intérprete de Lua y bibliotecas compiladas en Rust dentro de una biblioteca de enlaces dinámicos (DLL) para descargar y ejecutar cargas útiles de código de bytes de Lua», dijo Ashley Shen, investigadora de Cisco Talos.
La compañía de ciberseguridad dijo que descubrió la actividad en octubre de 2025, y el ataque utilizó señuelos de archivos RAR o 7-Zip para entregar un gotero llamado LucidPawn, que luego abre un archivo señuelo y lanza LucidRook. Una característica notable del conjunto de intrusión es el uso de carga lateral de DLL para ejecutar tanto LucidPawn como LucidRook.
Hay dos cadenas de infección distintas que conducen a LucidRook, una que utiliza un archivo de acceso directo de Windows (LNK) con un icono de PDF y otra que involucra un ejecutable que se hace pasar por un programa antivirus de Trend Micro. La secuencia completa se enumera a continuación:
- Cadena de infección basada en LNK – Cuando el usuario hace clic en el archivo LNK, asumiendo que es un documento PDF, ejecuta un script de PowerShell para ejecutar un binario legítimo de Windows («index.exe») presente en el archivo, que luego descarga una DLL maliciosa (es decir, LucidPawn). El cuentagotas, por su parte, emplea una vez más la carga lateral de DLL para ejecutar LucidRook.
- Cadena de infección basada en EXE – Cuando se inicia el supuesto programa Trend Micro («Cleanup.exe») dentro del archivo 7-Zip, actúa como un simple cuentagotas .NET que emplea carga lateral de DLL para ejecutar LucidRook. Tras la ejecución, el binario muestra un mensaje que indica que el proceso de limpieza se ha completado.
LucidRook, una DLL de Windows de 64 bits, está muy ofuscada para impedir el análisis y la detección. Su funcionalidad tiene dos vertientes: recopila información del sistema y la filtra a un servidor externo, y luego recibe una carga útil de código de bytes de Lua cifrada para su posterior descifrado y ejecución en la máquina comprometida utilizando el intérprete integrado Lua 5.4.8.
«En ambos casos, el actor abusó de un servicio de pruebas de seguridad de aplicaciones fuera de banda (OAST) y comprometió servidores FTP para la infraestructura de comando y control (C2)», dijo Talos.
LucidPawn también implementa una técnica de geofencing que consulta específicamente el idioma de la interfaz de usuario del sistema y continúa la ejecución solo si coincide con los entornos de chino tradicional asociados con Taiwán («zh-TW»). Esto ofrece dos ventajas, ya que limita la ejecución a la geografía de la víctima prevista y evita ser marcado en entornos limitados de análisis comunes.
Además, se ha descubierto que al menos una variante del dropper implementa una DLL de Windows de 64 bits llamada LucidKnight que es capaz de filtrar información del sistema a través de Gmail a una dirección de correo electrónico temporal. La presencia de la herramienta de reconocimiento junto a LucidRook sugiere que el adversario opera un conjunto de herramientas escalonado, potencialmente usando LucidKnight para perfilar objetivos antes de entregar el escenario LucidRook.
No se sabe mucho sobre UAT-10362 en esta etapa, aparte del hecho de que probablemente sea un actor de amenazas sofisticado cuyas campañas son dirigidas en lugar de oportunistas, al tiempo que priorizan la flexibilidad, el sigilo y las tareas específicas para las víctimas.
«El diseño modular en varios idiomas, las funciones antianálisis en capas, el manejo sigiloso de la carga útil del malware y la dependencia de una infraestructura pública o comprometida indican que UAT-10362 es un actor de amenazas capaz con un arte operativo maduro», dijo Talos.