Nach Darstellung von Cisco Talos führen zwei unterschiedliche Infektionsketten zu LucidRook. Eine nutzt eine Windows-Verknüpfung (LNK-Datei) mit PDF-Symbol, die andere setzt auf eine ausführbare Datei, die sich als Antivirenprogramm von Trend Micro ausgibt.
LucidRook selbst ist eine 64-Bit-DLL für Windows, die stark verschleiert ist, um Analyse und Erkennung zu erschweren. Die Schadsoftware verfolgt zwei Funktionen: Sie sammelt Systeminformationen und schleust diese an einen externen Server aus, anschließend empfängt sie eine verschlüsselte Lua-Bytecode-Payload, die auf dem kompromittierten Rechner mit dem eingebetteten Interpreter Lua 5.4.8 entschlüsselt und ausgeführt wird.
Für die Befehls- und Kontrollinfrastruktur (C2) missbrauchten die Angreifer laut Talos in beiden Fällen einen sogenannten Out-of-band Application Security Testing (OAST)-Dienst sowie kompromittierte FTP-Server.
Der Dropper LucidPawn verfügt zudem über eine Geofencing-Technik: Er fragt die Sprache der Benutzeroberfläche ab und setzt die Ausführung nur dann fort, wenn eine mit Taiwan verbundene Umgebung in traditionellem Chinesisch (“zh-TW”) erkannt wird. Damit beschränken die Angreifer die Ausführung auf das beabsichtigte Zielgebiet und vermeiden zugleich, in gängigen Analyse-Sandboxes aufzufallen.
Mindestens eine Variante des Droppers lieferte darüber hinaus eine weitere 64-Bit-Windows-DLL namens LucidKnight aus. Diese ist in der Lage, Systeminformationen über Gmail an eine temporäre E-Mail-Adresse auszuschleusen. Das Vorhandensein dieses Aufklärungswerkzeugs neben LucidRook deutet laut Talos darauf hin, dass die Gruppe ein gestaffeltes Werkzeugset betreibt und LucidKnight möglicherweise einsetzt, um Ziele zu profilieren, bevor der LucidRook-Stager ausgeliefert wird.
Zu UAT-10362 selbst liegen derzeit kaum Erkenntnisse vor. Talos geht davon aus, dass es sich um einen versierten Akteur handelt, dessen Kampagnen gezielt und nicht opportunistisch angelegt sind. Der modulare Aufbau über mehrere Programmiersprachen, die mehrschichtigen Maßnahmen gegen Analyse, der auf Tarnung ausgelegte Umgang mit den Payloads sowie die Nutzung kompromittierter oder öffentlicher Infrastruktur deuten nach Einschätzung von Talos auf einen fähigen Akteur mit ausgereiftem operativem Handwerk hin.
