Spear Phishing a Taiwan: LucidRook colpisce ONG e università con DLL side loading e geofencing zh‑TW

La minaccia informatica identificata come UAT 10362 è stata collegata a campagne di spear phishing mirate contro organizzazioni non governative di Taiwan e, con ogni probabilità, anche contro alcune università. L’obiettivo è la distribuzione di LucidRook, un malware di nuova generazione basato su Lua progettato per garantire flessibilità operativa, persistenza e un elevato livello di evasione dai controlli di sicurezza.

LucidRook si presenta come uno stager sofisticato integrato in una DLL Windows a 64 bit. Al suo interno include un interprete Lua e librerie compilate in Rust, una combinazione che consente agli attaccanti di scaricare e avviare payload successivi sotto forma di bytecode Lua. Questa architettura modulare permette di adattare l’attacco al singolo bersaglio, cambiando rapidamente le funzionalità distribuite senza dover modificare l’intera catena di infezione.

La fase iniziale dell’attacco sfrutta archivi compressi in formato RAR o 7 Zip come esche. In molti casi viene usato un dropper denominato LucidPawn, che apre un file esca per ridurre i sospetti e nel frattempo avvia il caricamento di LucidRook. Un elemento ricorrente è la tecnica di DLL side loading, in cui un eseguibile legittimo carica una DLL malevola posizionata ad arte nella stessa directory. Questo approccio aiuta a superare controlli basati su reputazione e whitelisting.

Catene di infezione osservate

Sono state osservate due catene di infezione principali:

• Prima catena: utilizza un file LNK con icona PDF che, una volta cliccato, lancia uno script PowerShell per eseguire un binario Windows legittimo presente nell’archivio e poi caricare la DLL malevola.
• Seconda catena: impiega un eseguibile che si finge un tool antivirus, presentando un messaggio di pulizia completata mentre in background avviene l’esecuzione del malware.

LucidRook svolge due funzioni chiave: raccoglie informazioni di sistema e le esfiltra verso un server esterno, poi riceve un payload Lua cifrato che viene decifrato ed eseguito localmente tramite l’interprete integrato. L’infrastruttura di comando e controllo include l’abuso di servizi OAST e server FTP compromessi, riducendo i costi e aumentando l’anonimato operativo.

LucidPawn integra anche una logica di geofencing basata sulla lingua dell’interfaccia utente, proseguendo solo in ambienti zh-TW. Questo limita l’esecuzione ai bersagli previsti e diminuisce la probabilità di analisi in sandbox automatizzate. In almeno una variante compare anche LucidKnight, una DLL capace di esfiltrare dati tramite Gmail verso indirizzi email temporanei, suggerendo un toolkit a livelli per ricognizione e selezione dei target.