Eine von Cisco Talos dokumentierte Kampagne zeigt, wie weit fortgeschritten moderne Cyber-Spionage inzwischen ist: Der neu identifizierte Threat-Actor UAT-10362 setzt in zielgerichteten Phishing-Angriffen gegen taiwanische Nichtregierungsorganisationen und mutmaßlich Universitäten auf eine neuartige, Lua-basierte Malware für Windows mit dem Namen LucidRook. Die Operation kombiniert selten genutzte Programmiersprachen, verschleierte DLLs und unauffällige C2-Infrastruktur, um möglichst lange unentdeckt zu bleiben.
Neuer Threat-Actor UAT-10362 und seine Ziele in Taiwan
Laut Cisco Talos ist die Aktivität von UAT-10362 mindestens seit Oktober 2025 nachweisbar. Im Gegensatz zu breit gestreuten Massenkampagnen verfolgt die Gruppe einen klar zielgerichteten Ansatz: ausgewählte Organisationen in Taiwan werden individuell adressiert, E-Mails und Inhalte sind offensichtlich auf die jeweiligen Empfänger zugeschnitten. Dieses Verhalten entspricht typischen Mustern von Cyber-Spionagegruppen, deren Schwerpunkt auf Informationsgewinnung und langfristiger Kompromittierung liegt – nicht auf schneller, direkt monetarisierbarer Erpressung.
Von Phishing zu DLL Side-Loading: die Infektionskette
Sorgfältig präparierte Archive und täuschend echte Köderdokumente
Der Erstzugang erfolgt über Phishing-E-Mails mit angehängten RAR- oder 7-Zip-Archiven. In den Archiven befindet sich ein Loader namens LucidPawn, der nach dem Start sowohl die Infektionskette anstößt als auch ein scheinbar legitimes Dokument öffnet, um den Nutzer abzulenken. Untersuchungen wie der Verizon Data Breach Investigations Report zeigen, dass Phishing weiterhin zu den häufigsten Initialzugängen in Angriffskampagnen gehört, was die Wahl dieses Vektors unterstreicht.
DLL Side-Loading und Tarnung als legitime Anwendungen
Kern der Kampagne ist der konsequente Einsatz von DLL Side-Loading. Dabei platzieren die Angreifer eine manipulierte DLL im selben Verzeichnis wie eine vertrauenswürdige Anwendung. Da Windows DLLs nach bestimmten Suchregeln lädt, greift das System zuerst auf die präparierte Bibliothek zu – sie wird also unter dem Deckmantel einer legitimen Anwendung ausgeführt. UAT-10362 nutzt zwei Hauptvarianten: zum einen Windows-LNK-Verknüpfungen mit PDF-Icon, die wie ein Dokument wirken, zum anderen ausführbare Dateien, die sich als Trend-Micro-Antivirus-Komponente tarnen. In beiden Fällen soll der Nutzer glauben, eine sichere Datei zu öffnen, während im Hintergrund der eigentliche Loader und später LucidRook gestartet wird.
LucidRook: modularer Lua-Stager mit flexibler C2-Infrastruktur
Im Zentrum der Operation steht die stark verschleierte 64-Bit-DLL LucidRook. Sie enthält einen eingebetteten Lua-Interpreter (Version 5.4.8) sowie zusätzliche Bibliotheken, die in Rust kompiliert wurden. Dieser modulare Mehrsprachen-Ansatz trennt das Grundgerüst der Malware von den eigentlichen Funktionsmodulen, die später nachgeladen werden.
Nach dem ersten Start sammelt LucidRook umfangreiche Systeminformationen – darunter Betriebssystemversion, Hardware- und Netzwerkparameter – und übermittelt sie an den Command-and-Control-Server (C2). Anschließend empfängt die Malware verschlüsselten Lua-Bytecode, entschlüsselt diesen lokal und führt ihn im eingebetteten Interpreter aus. Das ermöglicht den Angreifern, die Fähigkeiten der Malware sehr flexibel anzupassen, neue Module speziell für eine bestimmte Zielumgebung auszurollen und den Netzwerkverkehr schlank zu halten, da nur kompakten Bytecode statt großer Binärdateien übertragen wird.
Die C2-Kommunikation nutzt laut Talos eine Kombination aus kompromittierten FTP-Servern und OAST-Diensten (Out-of-band Application Security Testing), die üblicherweise von Sicherheitsteams für Webtests verwendet werden. Die Verwendung an sich legitimer oder missbrauchter Infrastruktur erschwert sowohl die technische Erkennung als auch die nachträgliche Attribution, weil der Datenverkehr stark dem von legitimen Sicherheits- oder Webdiensten ähnelt – ein Muster, das auch in ENISA- und anderen Threat-Landscape-Berichten als wachsender Trend beschrieben wird.
Geofencing und Anti-Analyse-Techniken durch LucidPawn
Der Loader LucidPawn implementiert ein gezieltes Geofencing. Bevor die Infektionskette fortgesetzt wird, prüft er die Spracheinstellung des Betriebssystems und setzt nur dann fort, wenn diese auf traditionelles Chinesisch für Taiwan („zh-TW“) konfiguriert ist. Damit begrenzen die Angreifer die Verbreitung der Malware bewusst auf die gewünschte Zielregion und reduzieren gleichzeitig die Wahrscheinlichkeit, in international betriebenen Sandboxing-Umgebungen oder Malware-Sammlungen aufzufallen, die überwiegend auf Englisch oder andere Sprachen eingestellt sind.
LucidKnight: zusätzlicher Spionagemodul über Gmail
Neben LucidRook identifizierte Cisco Talos mindestens einen weiteren Loader, der eine zusätzliche DLL namens LucidKnight nachlädt. Auch dieses Modul sammelt Systeminformationen, leitet sie jedoch über ein Gmail-Konto an ein temporäres Postfach weiter. Der Einsatz von Webmail-Diensten als alternative Exfiltrations- und Steuerungskanäle ist seit Jahren in APT-Kampagnen zu beobachten, da verschlüsselter HTTPS-Webtraffic zu bekannten Cloud- und Mail-Providern im Unternehmensalltag nur schwer zu blockieren ist.
Das parallele Auftreten von LucidRook und LucidKnight auf kompromittierten Systemen deutet auf ein mehrstufiges Toolset hin: Wahrscheinlich dient LucidKnight zunächst dem Low-Profile-Profiling und der Bewertung der Zielsysteme, während LucidRook als universeller Stager für weitergehende Operationen fungiert – etwa für die Bereitstellung zusätzlicher Module, die Exfiltration sensibler Dokumente oder die Einrichtung eines dauerhaften Zugangs.
Implikationen und Sicherheitsmaßnahmen für NGOs, Hochschulen und Unternehmen
Die Kombination aus DLL Side-Loading, Geofencing, Lua-Bytecode, Rust-Komponenten, OAST- und FTP-Missbrauch sowie Gmail-Exfiltration unterstreicht das hohe operative Niveau von UAT-10362. Die Kampagne bestätigt mehrere Trends, die in aktuellen Bedrohungsberichten hervorgehoben werden: vermehrte Nutzung seltener Programmiersprachen zur Erschwerung der Analyse, Missbrauch legitimer Cloud- und Test-Infrastrukturen sowie eine klare Fokussierung auf langfristige Spionage statt auf kurzfristige Ransomware-Erpressung.
Organisationen im NPO-Sektor, Hochschulen und andere potenziell attraktive Ziele sollten ihre Verteidigungsstrategie entsprechend ausrichten. Dazu gehören strengere E-Mail-Filter für Archive und ausführbare Anhänge, die Einschränkung von unsignierten oder unbekannten DLL-Ladevorgängen (z. B. über Application-Control-Lösungen wie AppLocker oder WDAC), der Einsatz von EDR/XDR-Plattformen zur Erkennung verdächtiger Prozessketten sowie eine engmaschige Überwachung von ausgehendem Traffic zu FTP-Servern, OAST-Diensten und Webmail-Anbietern. Ebenso entscheidend ist ein kontinuierliches Awareness-Training der Mitarbeitenden zum Erkennen gezielter Phishing-Versuche sowie eine strenge Umsetzung des Least-Privilege-Prinzips, um den Schaden im Falle eines erfolgreichen Erstzugriffs zu begrenzen.
Angesichts der zunehmenden Professionalisierung von Spionagekampagnen wie derjenigen von UAT-10362 sollten Sicherheitsverantwortliche ihre Detection-&-Response-Fähigkeiten regelmäßig überprüfen, Playbooks für den Umgang mit zielgerichteten Angriffen etablieren und aktiv nach Anzeichen von DLL Side-Loading, ungewöhnlichen Lua-Interpreter-Aktivitäten oder auffälligen Verbindungen zu verdächtigen FTP- und OAST-Endpunkten suchen. Wer diese Erkenntnisse frühzeitig in seine Sicherheitsarchitektur integriert, erhöht die Chancen erheblich, vergleichbare Operationen wie LucidRook und LucidKnight rechtzeitig zu entdecken und wirksam einzudämmen.
