LucidRook: Ny Lua-baseret malware i målrettede angreb mod NGO’er og universiteter
En ny malwarefamilie, LucidRook, bliver brugt i målrettede spear‑phishing‑kampagner mod NGO’er og universiteter i Taiwan. Ifølge Cisco Talos står en trusselsaktør, internt navngivet UAT‑10362, bag angrebene. Gruppen beskrives som teknisk kapabel og kendetegnet ved moden operationel praksis. Det skriver Bleeping Computer.
Angrebene blev observeret i oktober 2025 og begynder med phishing‑mails, der indeholder passwordbeskyttede arkiver. Talos har identificeret to infektionskæder: én baseret på LNK‑genveje og én baseret på en eksekverbar fil, der udgiver sig for at være Trend Micro Worry‑Free Business Security Services. Begge veje fører til levering af en dropper, som researcherne har navngivet LucidPawn.
I den LNK‑baserede kæde anvendes lokkedokumenter, der ligner officielle breve fra taiwanske myndigheder. Mens brugeren læser dokumentet, installeres malwaren i baggrunden.
LucidPawn dekrypterer og installerer et legitimt Windows‑program, der omdøbes til at ligne Microsoft Edge, samt en ondsindet DLL (DismCore.dll). DLL’en bliver sideloadet af det legitime program og fungerer som loader for LucidRook.
Det mest bemærkelsesværdige ved LucidRook er dens arkitektur, fremgår det af omtalen. Malwaren indeholder en indbygget Lua‑fortolker og er designet til at hente sekundære payloads som Lua‑bytekode. Dermed kan angriberen ændre funktionalitet uden at ændre selve loaderen og samtidig reducere den mængde artefakter, der efterlades på kompromitterede systemer.
Ifølge Cisco Talos forbedrer denne tilgang både fleksibilitet og operationel sikkerhed. Lua‑payloads kan hostes kortvarigt og fjernes efter levering, hvilket gør efterfølgende hændelsesanalyse vanskeligere - især hvis forsvarere kun får fat i loaderen.
Obfuskeret og sløret
LucidRook er desuden kraftigt obfuskeret. Strenge, filendelser, interne navne og C2‑adresser er sløret, hvilket komplicerer reverse engineering og forlænger analysetiden.
Den observerede funktionalitet viser, at malwaren indsamler systemoplysninger som brugernavne, computernavne, installerede programmer og kørende processer. Data krypteres med RSA, pakkes i passwordbeskyttede arkiver og eksfiltreres via FTP til angriberkontrolleret infrastruktur.
Talos har også identificeret et beslægtet værktøj, LucidKnight, som sandsynligvis bruges til rekognoscering. Her misbruges Gmail‑infrastruktur til dataeksfiltration, hvilket peger på et fleksibelt værktøjssæt og flere alternative eksfiltreringskanaler.
Cisco Talos vurderer, at der er tale om en målrettet intrusion kampagne. Researcherne har dog ikke haft adgang til en dekrypterbar Lua‑payload, og de præcise handlinger efter den indledende infektion er derfor ukendte.
Samlet set vurderes det, at LucidRook illustrerer, hvordan moderne trusselsaktører i stigende grad anvender modulære og flygtige designs, der udfordrer både detektion og efterfølgende analyse - også når selve infektionen opdages.