Исследователи Cisco Talos задокументировали ранее неизвестный кластер угроз UAT-10362, специализирующийся на целевых фишинговых атаках против тайваньских некоммерческих организаций и, предположительно, университетов. В ходе кампании злоумышленники используют новый Lua‑основанный вредонос для Windows под названием LucidRook, что указывает на растущую популярность нетипичных языков программирования в кибершпионаже для повышения скрытности и гибкости.
Новый кластер угроз UAT-10362 и его цели
По данным Cisco Talos, активность UAT-10362 была зафиксирована в октябре 2025 года. В отличие от массовых рассылок, кампания носит прицельный, а не оппортунистический характер: атакующие выбирают ограниченный круг жертв в Тайване и тщательно готовят фишинговые сообщения. Такой подход характерен для групп, ориентированных на разведку и кражу данных, а не на быстрое монетизируемое вымогательство.
В качестве начального вектора применяются фишинговые письма с вложенными RAR- или 7-Zip‑архивами. Внутри архива находится загрузчик LucidPawn, который запускает основную цепочку заражения, одновременно открывая «легитимный» документ-приманку, чтобы не вызвать подозрений у пользователя.
Цепочки заражения: от фишинга до запуска стейджера
LucidPawn, DLL side-loading и маскировка под легитимное ПО
Ключевая особенность кампании — активное использование техники DLL side-loading. Злоумышленники помещают вредоносную библиотеку в ту же директорию, что и доверенное приложение, после чего операционная система подгружает именно эту DLL, полагая её легитимной. Таким образом запускаются и LucidPawn, и основной стейджер LucidRook, обходя многие традиционные средства защиты, ориентированные на обнаружение подозрительных исполняемых файлов.
Исследователи выделяют две основные ветви заражения, обе ведущие к запуску LucidRook:
- использование ярлыка Windows (LNK) с иконкой PDF‑файла, что создает иллюзию открытия документа;
- применение исполняемого файла, маскирующегося под антивирус Trend Micro, что повышает доверие пользователя и снижает вероятность блокировки со стороны ИБ‑персонала.
LucidRook: Lua‑стейджер с модульной архитектурой
Ядром операции выступает 64‑битная DLL LucidRook, сильно обфусцированная для усложнения анализа и обнаружения. Внутри неё встроен интерпретатор Lua 5.4.8 и набор библиотек, скомпилированных на Rust. Такой многоязычный, модульный подход позволяет отделить базовый «каркас» вредоноса от загружаемых позднее функциональных модулей.
На первом этапе LucidRook собирает разведывательную информацию о системе — данные о версии ОС, конфигурации, сетевой среде и других параметрах — и отправляет их на внешний сервер управления (C2). Затем он получает зашифрованный байт‑код Lua, расшифровывает его и выполняет с помощью встроенного интерпретатора. Это дает злоумышленникам возможность:
- гибко менять функциональность без обновления основного бинарного файла;
- быстро развертывать новые модули под конкретную жертву;
- минимизировать «шум» в сети, передавая компактный байт‑код вместо полноценных исполняемых файлов.
Cisco Talos отмечает, что канал управления базируется на комбинации компрометированных FTP‑серверов и сервисов OAST (Out-of-band Application Security Testing), традиционно применяемых для тестирования веб‑приложений. Использование публичной или взломанной инфраструктуры затрудняет атрибуцию и блокировку, поскольку трафик внешне может выглядеть как легитимный.
Геофенсинг и уклонение от анализа
Загрузчик LucidPawn реализует характерный для целевых кампаний прием геофенсинга. Перед продолжением выполнения он проверяет язык интерфейса системы и действует только в том случае, если он соответствует традиционному китайскому варианту для Тайваня («zh-TW»). Это одновременно ограничивает распространение вредоноса за пределами целевого региона и снижает риск его попадания в глобальные песочницы и исследовательские среды, настроенные на английский или другие языки.
В сочетании с многоуровневой обфускацией, многоязычной архитектурой (Lua + Rust + DLL) и аккуратной работой с C2‑инфраструктурой такая тактика демонстрирует высокую зрелость операционного ремесла UAT-10362 и их нацеленность на длительное скрытое присутствие.
LucidKnight: разведка через Gmail и многоуровневый набор инструментов
Помимо LucidRook выявлена как минимум одна разновидность загрузчика, устанавливающая дополнительную DLL LucidKnight. Этот модуль также собирает информацию о системе, но выводит её через учетную запись Gmail на временный почтовый ящик. Такой альтернативный канал передачи данных уменьшает зависимость от единственного C2 и усложняет детектирование по сетевым индикаторам.
Совместное присутствие LucidRook и LucidKnight на скомпрометированных хостах указывает на использование многоуровневого набора инструментов. Вероятно, LucidKnight применяют для первичного профилирования целей и оценки их ценности, а LucidRook служит универсальным стейджером для последующих, более «тяжелых» операций — внедрения дополнительных модулей, кражи документов или организации устойчивого доступа.
С учетом применяемых техник — DLL side-loading, геофенсинг, Lua‑байткод, использование OAST‑сервисов и взломанных FTP — группа UAT-10362 выглядит как зрелый и хорошо оснащенный игрок, ориентированный на скрытные кибершпионские операции. Организациям в НКО‑секторе, вузам и другим потенциально интересным целям в регионе имеет смысл усилить проверку вложений и архивов, ограничить возможность произвольной загрузки DLL‑библиотек, внедрить контроль целостности приложений, а также использовать решения класса EDR/XDR, способные отслеживать подозрительные цепочки загрузчиков и сетевую активность. Отдельное внимание стоит уделять обучению сотрудников распознаванию фишинга и регулярному пересмотру политик доступа, чтобы минимизировать ущерб даже в случае успешного первичного проникновения.
