Investigadores de Cisco Talos han revelado un nuevo cluster de amenazas, etiquetado como UAT-10362, implicado en una campaña de ciberespionaje dirigido contra organizaciones no gubernamentales taiwanesas y, con alta probabilidad, contra instituciones académicas. El elemento más llamativo de la operación es el uso de LucidRook, un malware para Windows basado en Lua, que refuerza la tendencia emergente de emplear lenguajes de programación menos comunes para aumentar la sigilosidad y la flexibilidad de las herramientas maliciosas.
UAT-10362: nuevo actor centrado en el ciberespionaje en Taiwán
La actividad atribuida a UAT-10362 se ha observado desde octubre de 2025 y se caracteriza por campañas de phishing altamente selectivo. En lugar de envíos masivos, los atacantes escogen un número limitado de víctimas en Taiwán y preparan cuidadosamente los correos electrónicos, un patrón típico de operaciones de inteligencia digital más que de ataques orientados al beneficio económico inmediato, como el ransomware.
Los mensajes fraudulentos incluyen archivos comprimidos RAR o 7-Zip que contienen el componente inicial, denominado LucidPawn. Este loader abre un documento señuelo aparentemente legítimo al mismo tiempo que inicia la cadena de infección, con el fin de reducir las sospechas del usuario y de los equipos de seguridad.
Cadena de infección: del phishing dirigido al uso de DLL side-loading
LucidPawn y el abuso de accesos directos y software legítimo
Uno de los elementos técnicos clave de la campaña es el uso intensivo de la técnica de DLL side-loading. Esta táctica consiste en ubicar una biblioteca dinámica maliciosa en el mismo directorio que un ejecutable legítimo para que el propio sistema operativo la cargue de forma preferente, creyendo que se trata de un componente de confianza. De este modo se ejecutan tanto LucidPawn como el stager principal LucidRook, evitando en muchos casos mecanismos de defensa centrados en la detección de binarios sospechosos.
Los analistas de Cisco Talos han identificado dos variantes principales de la cadena de infección, ambas con el objetivo final de desplegar LucidRook:
- Uso de un acceso directo de Windows (LNK) que imita un archivo PDF, lo que induce al usuario a creer que simplemente abre un documento.
- Empleo de un ejecutable que se hace pasar por software de seguridad de Trend Micro, aumentando la confianza del usuario y reduciendo la probabilidad de bloqueos manuales por parte del personal de TI o seguridad.
LucidRook: malware modular en Lua y Rust para operaciones sigilosas
El núcleo de la operación es LucidRook, una DLL de 64 bits fuertemente ofuscada. En su interior integra un intérprete Lua 5.4.8 y varias bibliotecas desarrolladas en Rust, lo que configura una arquitectura modular y multilenguaje. Esta estructura permite separar el “esqueleto” del malware de los módulos funcionales que se descargan posteriormente.
En su primera fase, LucidRook recopila información detallada del sistema —versión de sistema operativo, configuración, entorno de red y otros parámetros— y la envía a un servidor de mando y control (C2). A continuación recibe bytecode de Lua cifrado, lo descifra y lo ejecuta usando el intérprete embebido. Este diseño ofrece a los atacantes varias ventajas operativas:
- Modificar rápidamente las capacidades del malware sin cambiar el binario principal.
- Desplegar módulos específicos para cada víctima según su perfil.
- Reducir la huella de red, al transmitir bytecode compacto en lugar de ejecutables completos.
Infraestructura de mando y control basada en FTP y servicios OAST
La infraestructura C2 combina el uso de servidores FTP comprometidos con servicios de Out-of-band Application Security Testing (OAST), comúnmente usados en pruebas de seguridad de aplicaciones web. Al abusar de infraestructuras legítimas o previamente vulneradas, el tráfico malicioso se mimetiza mejor con comunicaciones normales, dificultando tanto la atribución como el bloqueo mediante listas de dominios o direcciones IP maliciosas.
Geofencing, evasión de análisis y profesionalización operativa
El componente LucidPawn incorpora un mecanismo de geofencing que refuerza el carácter selectivo de la campaña. Antes de continuar la ejecución, verifica el idioma de la interfaz del sistema y solo se activa si está configurada en chino tradicional para Taiwán («zh-TW»). Este filtro limita de forma deliberada la propagación fuera del objetivo geográfico previsto y reduce la probabilidad de que las muestras sean capturadas por entornos de análisis automatizado con configuraciones regionales distintas.
Combinado con múltiples capas de ofuscación, la arquitectura mixta Lua + Rust + DLL y una gestión cuidadosa de la infraestructura C2, el conjunto de técnicas indica un alto grado de madurez operativa y una clara orientación a mantener un acceso persistente y discreto en los sistemas comprometidos.
LucidKnight: exfiltración mediante Gmail y toolkit por etapas
Además de LucidRook, los investigadores han identificado una variante de loader que instala una DLL adicional denominada LucidKnight. Este módulo también realiza funciones de reconocimiento del sistema, pero exfiltra los datos a través de una cuenta de Gmail hacia un buzón temporal. Este canal de salida alternativo reduce la dependencia de un único C2 e incrementa la resiliencia frente a bloqueos basados en indicadores de red.
La coexistencia de LucidRook y LucidKnight en los mismos equipos apunta a un conjunto de herramientas escalonado. Es probable que LucidKnight se utilice para un perfilado inicial y evaluación de interés de la víctima, mientras que LucidRook actúa como stager flexible para fases posteriores, que pueden incluir robo de documentos, despliegue de nuevas cargas o establecimiento de accesos persistentes de mayor nivel.
La combinación de phishing dirigido, DLL side-loading, geofencing, bytecode Lua, servicios OAST y FTP comprometidos sitúa a UAT-10362 como un actor sofisticado centrado en el ciberespionaje. Para organizaciones del tercer sector, universidades y entidades estratégicas en la región, resulta esencial reforzar los controles sobre adjuntos y archivos comprimidos, restringir la carga arbitraria de DLL, implantar mecanismos de validación de integridad de aplicaciones y desplegar soluciones EDR/XDR capaces de correlacionar cadenas de ejecución sospechosas con actividad de red anómala. Invertir en formación continua frente al phishing y revisar periódicamente los modelos de acceso y privilegios pueden marcar la diferencia entre un incidente aislado y una intrusión prolongada con impacto grave.
