MalwareSchwachstellenPhishing

LucidRook: Neue Lua-basierte Malware zielt auf taiwanische NGOs und Universitäten

LucidRook: Neue Lua-basierte Malware zielt auf taiwanische NGOs und Universitäten
Zusammenfassung

Eine bislang unbekannte Cyberbedrohung namens UAT-10362 zielt gezielt auf taiwanische Nichtregierungsorganisationen und vermutete Universitäten ab, um die neue Lua-basierte Malware LucidRook einzuschleusen. Die Sicherheitsexperten von Cisco Talos entdeckten die Kampagnen im Oktober 2025 und identifizierten eine ausgefeilte Angriffsinfrastruktur mit mehreren Stufen: Über täuschend echte E-Mails mit RAR- oder 7-Zip-Archiven sowie gefälschten Antivirus-Programmen wird zunächst die Dropper-Malware LucidPawn ausgeführt, die dann LucidRook lädt. Die neue Malware nutzt einen eingebauten Lua-Interpreter und Rust-compilierte Bibliotheken zur Ausführung verschlüsselter Payloads. Besonders bemerkenswert ist die Geofencing-Technik, die das Malware-Skript nur in Taiwan-Umgebungen ausführt und dadurch Sicherheitssandboxen umgeht. Während UAT-10362 primär auf Taiwan fokussiert, demonstriert die Sophistiziertheit dieser Kampagne mit ihren Multi-Layer-Angriffskettenm und dem modularen Toolset ein hohes Risiko. Deutsche Unternehmen und Behörden sollten diese Entwicklung beobachten, da ähnliche Techniken adaptiert werden könnten. Die Kombination von Social Engineering, fortgeschrittener Verschleierung und Infrastruktur-Missbrauch zeigt, wie moderne Cyberangreifer arbeiten und unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen.

Die Hackergruppe UAT-10362 demonstriert ein hohes Maß an operativer Raffinesse. Ihre Angriffskampagnen nutzen gezielt präparierte RAR- oder 7-Zip-Archive, die als vertrauenswürdige Dateien getarnt sind. Besonders bemerkenswert ist die Verwendung von DLL-Seite-Loading – eine Technik, bei der legitime Systemdateien manipuliert werden, um bösartigen Code auszuführen.

Das Infektionsschema folgt mehreren Pfaden: Ein Angriffspfad nutzt Windows-Shortcuts (LNK-Dateien) mit PDF-Icons, während ein anderer einen ausführbaren Code verwendet, der sich als Antivirensoftware von Trend Micro ausgibt. Beide Methoden laden die sogenannte LucidPawn-Dropper-Software ein, die wiederum das eigentliche Schadprogramm LucidRook installiert.

LucidRook selbst ist eine 64-Bit-Windows-DLL mit mehrschichtiger Sicherheitsarchitektur. Die Malware erfüllt zwei Kernfunktionen: Sie sammelt Systeminformationen und sendet diese an externe Server, empfängt danach verschlüsselte Lua-Bytecode-Payloads und führt diese mit dem eingebauten Interpreter aus. Besonders clever ist die sogenannte Geofencing-Technik: LucidPawn überprüft die Sprache der Benutzeroberfläche und führt sich nur bei “zh-TW” (Traditional Chinese – Taiwan) aus. Dies begrenzt nicht nur die Ausführung auf das beabsichtigte Zielgebiet, sondern umgeht auch Standard-Analyse-Umgebungen.

Zusätzlich entdeckte Cisco Talos eine Variante mit LucidKnight, einer zweiten Malware-Komponente, die Systeminformationen über Gmail an temporäre E-Mail-Adressen exfiltriert. Dies deutet auf ein mehrschichtiges Arsenal hin: Die Gruppe nutzt zunächst Aufklärungstools wie LucidKnight, um Ziele zu profileren, bevor die stärkere LucidRook-Malware eingesetzt wird.

Für die Command-and-Control-Kommunikation missbrauchte UAT-10362 OAST-Dienste (Out-of-Band Application Security Testing) sowie kompromittierte FTP-Server – eine Methode, die echte Infrastruktur tarnt und damit Detektion erschwert. Cisco Talos charakterisiert den Akteur als ausgefeilten, strategischen Gegner mit flexiblen Werkzeugen, starkem Fokus auf Verborgenheit und zielgerichteter Vorgehensweise – keine typischen Merkzeichen zufälliger Cyberkrimineller, sondern staatlich oder professionell organisierter Hackergruppen.

Ähnliche Artikel