Un nouveau malware basé sur Lua, dénommé LucidRook, est dans le viseur de campagnes de spear-phishing ciblant des organisations non gouvernementales et des universités à Taïwan.
Les chercheurs de Cisco Talos attribuent ce malware à un groupe de menaces désigné en interne comme UAT-10362, reconnu pour son expertise opérationnelle avancée.
LucidRook a été observé lors d’attaques en octobre 2025 utilisant des emails de phishing contenant des archives protégées par mot de passe.
Les experts ont identifié deux chaînes d’infection : l’une impliquait un fichier LNK qui a finalement permis de déployer un programme malveillant nommé LucidPawn, tandis qu’une autre chaîne basée sur un fichier EXE se faisait passer pour un exécutable de sécurité antivirus de Trend Micro.
L’attaque utilisant le fichier LNK s’accompagnait de documents de leurre, notamment des lettres gouvernementales falsifiées pour sembler provenir du gouvernement taïwanais, afin d’attirer l’attention de la victime.
Source : Cisco Talos
Les chercheurs de Cisco Talos notent que LucidPawn déchiffre et déploie un exécutable légitime renommé pour imiter Microsoft Edge, ainsi qu’un DLL malveillant (DismCore.dll) facilitant le chargement de LucidRook.
LucidRook est particulièrement remarquable par sa conception modulaire et son environnement d’exécution Lua intégré, ce qui lui permet de récupérer et d’exécuter des charges utiles de seconde étape sous forme de bytecode Lua.
Cette méthode permet aux opérateurs de mettre à jour les fonctionnalités sans modifier le noyau du malware, tout en limitant la visibilité pour les forces d’intervention. La dissimulation est renforcée par une obfuscation poussée du code.
Cisco Talos explique que « l’intégration de l’interpréteur Lua transforme effectivement le DLL natif en une plateforme d’exécution stable tout en permettant à l’acteur de la menace d’adapter le comportement pour chaque cible ou campagne en mettant à jour le payload en bytecode Lua ». Cette méthode améliore également la sécurité opérationnelle, car l’étape Lua peut être hébergée brièvement et supprimée après livraison, compliquant ainsi la reconstitution post-incident.
Talos souligne aussi que le binaire est fortement obfusqué, ce qui rend toute tentative d’ingénierie inverse ardue en raison de la complexité d’analyser les chaînes de caractères, les extensions de fichiers, les identifiants internes et les adresses de commande et contrôle.
Lors de son exécution, LucidRook mène des actions de reconnaissance système, collectant des informations comme les noms d’utilisateur et de machine, les applications installées et les processus en cours.
Les données collectées sont chiffrées avec RSA, stockées dans des archives protégées par mot de passe, et exfiltrées vers des infrastructures contrôlées par les attaquants via FTP.
Dans le cadre de l’analyse de LucidRook, les chercheurs ont identifié un outil connexe nommé LucidKnight, probablement utilisé pour des missions de reconnaissance.
Une des caractéristiques significatives de LucidKnight est son abus de Gmail GMTP pour exfiltrer les données collectées, suggérant qu’UAT-10362 dispose d’une panoplie d’outils flexible pour répondre à divers besoins opérationnels.
Cisco Talos conclut avec un niveau de confiance moyen que les attaques de LucidRook font partie d’une campagne d’intrusion ciblée. Cependant, les chercheurs n’ont pas pu capturer de bytecode Lua décryptable récupéré par LucidRook, rendant flous les détails des actions post-infection.