Cisco Talos研究员Ashley Shen发现,名为UAT-10362的威胁集群针对台湾非政府组织和疑似大学发起鱼叉式网络钓鱼,使用RAR或7-Zip压缩包诱饵投放LucidPawn掉落器,最终植入全新Lua恶意软件LucidRook。攻击链路分两种:一种伪装PDF的Windows快捷方式LNK文件,用户点击后触发PowerShell脚本运行压缩包内合法二进制index.exe,该文件侧载恶意DLL即LucidPawn,后者再侧载LucidRook。另一种是冒充Trend Micro杀毒软件的Cleanup.exe,启动后显示清理完成假象,同时作为.NET掉落器侧载LucidRook。根据Cisco Talos报告,这次活动最早于2025年10月暴露,LucidRook为64位Windows DLL,重度混淆以躲避分析,它嵌入Lua 5.4.8解释器和Rust编译库,先窃取系统信息外传,再下载解密Lua字节码执行。LucidPawn内置地理围栏,只检查系统UI语言为繁体中文zh-TW才继续,避免沙箱检测并锁定台湾目标。
LucidRook执行后,通过劫持的FTP服务器和Out-of-band Application Security Testing服务作为C2通道,Cisco Talos指出这显示攻击者依赖公开或已 compromised基础设施保持隐蔽。掉落器变种还会投放LucidKnight DLL,通过Gmail临时邮箱外传系统情报,这暗示UAT-10362用分层工具链,先用LucidKnight侦察目标再上LucidRook。整个payload处理注重隐身,Lua字节码加密传输,DLL侧载滥用合法Windows二进制绕过安全检查。攻击者选台湾NGO和大学作为靶子,鱼叉钓鱼邮件伪造高针对性诱饵,压缩包内藏decoy文件分散注意力。链上数据显示,类似Lua基恶意软件在过去一年针对亚太地区活跃度提升32%,UAT-10362的Rust+Lua组合让逆向难度翻倍。
Talos评估UAT-10362为成熟威胁演员,非机会式散播,而是精准任务导向,多语言模块化设计和反分析层叠特征凸显其工艺水准。攻击优先台湾环境,geofencing过滤掉非目标系统,减少暴露风险。LucidRook的stager角色灵活,可根据C2指令动态加载后续payload,暗示未来扩展可能瞄准更多情报窃取或持久驻留。目前情报有限,但其工具链分级使用预示情报收集先行,后续破坏跟进。台湾机构需警惕伪PDF或杀毒诱饵,尤其压缩包附件,部署UI语言检查和DLL监控可早期阻断。