Novo Malware ‘LucidRook’ Usado em Ataques Direcionados a ONGs e Universidades

LucidRook é um backdoor baseado em Lua que visou ONGs e universidades taiwanesas através de duas cadeias de spear-phishing em outubro de 2025. Uma cadeia, baseada em LNK, utiliza um arquivo protegido por senha para entregar uma carta governamental isca junto com um dropper LucidPawn, que realiza sideload de DLL para LucidRook via um executável renomeado do Microsoft Edge. A outra cadeia, baseada em EXE, emprega um instalador falso da Trend Micro para atingir o mesmo resultado.

Uma vez em execução, LucidRook busca payloads de bytecode Lua de segunda fase de seu servidor C2 (hospedado brevemente e removido após a entrega para dificultar a perícia), coleta dados de reconhecimento do sistema, criptografa-os com RSA em arquivos protegidos por senha e os exfiltra via FTP. Uma ferramenta companheira, LucidKnight, abusa do GMTP do Gmail para exfiltração de dados. Para defensores, a busca por sideloading de DismCore[.]dll, tráfego FTP de saída de cargas de trabalho não-servidor e tráfego anômalo da API do Gmail a partir de endpoints são âncoras de detecção iniciais.