UAT-10362: Malware LucidRook Colpisce ONG Taiwanese tramite Phishing Mirato

Emerge un nuovo attore minaccioso nel panorama della cybersecurity: identificato con il nome di UAT-10362, questo gruppo ha avviato campagne di phishing mirato contro organizzazioni non governative (ONG) e, presumibilmente, università taiwanesi, con l’obiettivo di implementare un malware avanzato noto come LucidRook.

La Minaccia del Malware LucidRook

Recentemente, Cisco Talos, una delle principali aziende nel campo della sicurezza informatica, ha rivelato l’individuazione di questa minaccia nel mese di ottobre 2025. LucidRook si presenta come uno stadio di attacco sofisticato, che integra un interprete Lua e librerie compilate in Rust all’interno di una DLL (Dynamic Link Library). Questo malware è progettato per scaricare ed eseguire payloads di bytecode Lua, rendendo l’analisi più difficile per le difese tradizionali.

L’attacco sfrutta archivi compressi, come RAR o 7-Zip, per distribuire un dropper denominato LucidPawn. Questo dropper si occupa di aprire un file fittizio che attiva LucidRook. Una particolarità di questa catena di attacco è l’uso del DLL side-loading, una tecnica che consente l’esecuzione di entrambi i malware in modo subdolo dal momento che questa operazione avviene attraverso file DLL legittimi.

Meccanismi di Infezione e Tecniche Utilizzate

UAT-10362 impiega due catene di infezione distinte. La prima utilizza un file di collegamento (LNK) camuffato da documento PDF, mentre la seconda coinvolge un eseguibile che simula un programma antivirus di Trend Micro. La prima catena funziona così: quando l’utente clicca sul file LNK, viene eseguito uno script PowerShell che attiva un binario di Windows legittimo per poi caricare una DLL malevola (LucidPawn). Quest’ultima, a sua volta, servirà per eseguire LucidRook.

Nella seconda catena, quando l’utente lancia il programma “Cleanup.exe”, esso agisce come un semplice dropper .NET, caricando poi LucidRook. In entrambi i casi, il malware si basa su tecniche di side-loading per sfruttare componenti già presenti nel sistema dell’utente.

Caratteristiche Avanzate e Implicazioni per la Sicurezza

LucidRook presenta dei meccanismi di offuscamento sofisticati, rendendo complicato il suo riconoscimento. Ha due funzionalità principali: raccogliere informazioni di sistema e inviarle a un server remoto, e ricevere payload di bytecode Lua crittografati, che possono essere decifrati ed eseguiti sulla macchina compromessa.

Un elemento distintivo di LucidPawn è anche l’utilizzo di tecniche di geofencing, che permettono al malware di eseguire le sue operazioni solo su sistemi configurati con lingue associate a Taiwan. Questo approccio non solo limita l’esecuzione al target specifico, ma riduce anche il rischio di essere intercettato durante l’analisi standard.

Inoltre, è stato identificato un altro componente del toolkit UAT-10362: un dropper di nome LucidKnight, capace di rubare informazioni di sistema attraverso email temporanee. Ciò suggerisce un’operatività stratificata, dove il gruppo potrebbe utilizzare LucidKnight per raccogliere informazioni sui bersagli prima di avviare l’attacco principale con LucidRook.

Conclusioni e Implicazioni Pratiche

La crescente sofisticazione di attacchi come quelli del gruppo UAT-10362 sottolinea l’importanza di sistemi di sicurezza informatica adeguati, non solo in Taiwan, ma anche in Italia e nel resto del mondo. Aziende e organizzazioni devono prestare attenzione a messaggi di phishing, ai file sospetti e implementare formazione e strumenti di difesa avanzati per mitigare il rischio di compromissione.

In un contesto sempre più vulnerabile come quello attuale, è cruciale che gli utenti e le organizzazioni prendano coscienza delle minacce informatiche e adottino pratiche di sicurezza proattive per proteggere i propri dati e infrastrutture.