Die LNK-basierte Angriffskette nutzt Köderdokumente, um die Aufmerksamkeit der Nutzer abzulenken – darunter Schreiben, die so gestaltet sind, als stammten sie von der taiwanischen Regierung. Nach Beobachtung von Cisco Talos entschlüsselt und installiert LucidPawn eine legitime, in „Microsoft Edge" umbenannte ausführbare Datei zusammen mit einer schädlichen DLL (DismCore.dll), über die LucidRook per Sideloading geladen wird.
Kern von LucidRook ist die eingebettete Lua-Laufzeitumgebung. Indem der Lua-Interpreter in die native DLL eingebaut wird, entsteht laut Talos eine stabile Ausführungsplattform, während der Angreifer das Verhalten für jedes Ziel oder jede Kampagne anpassen kann, indem er lediglich den Lua-Bytecode austauscht – mit einem leichteren und flexibleren Entwicklungsprozess.
Talos verweist zudem auf den Vorteil für die Angreifer bei der operativen Sicherheit: Die Lua-Stufe lasse sich nur kurz bereitstellen und nach der Auslieferung wieder vom Command-and-Control-Server entfernen. Das erschwere die Rekonstruktion nach einem Vorfall, wenn Verteidiger nur den Loader, nicht aber die extern nachgelieferte Lua-Payload sicherstellen könnten. Hinzu kommt eine umfangreiche Verschleierung von eingebetteten Zeichenketten, Dateiendungen, internen Bezeichnern und C2-Adressen, die das Reverse Engineering erschwert.
Während der Ausführung führt LucidRook eine Systemerkundung durch und sammelt unter anderem Benutzer- und Computernamen, installierte Anwendungen und laufende Prozesse. Die Daten werden mit RSA verschlüsselt, in passwortgeschützten Archiven abgelegt und über FTP an eine von den Angreifern kontrollierte Infrastruktur abgeführt.
Bei der Analyse von LucidRook stießen die Forscher auf ein verwandtes Werkzeug namens „LucidKnight", das vermutlich zur Erkundung dient. Auffällig ist, dass LucidKnight Gmail GMTP missbraucht, um gesammelte Daten zu exfiltrieren – ein Hinweis darauf, dass UAT-10362 über ein flexibles Werkzeugarsenal für unterschiedliche operative Anforderungen verfügt.
Eine decodierbare Lua-Bytecode-Payload, die LucidRook nachlädt, konnte Talos nicht abfangen. Welche konkreten Aktionen nach einer Infektion ausgeführt werden, ist daher nicht bekannt.
