Novo Malware 'LucidRook' Usado em Ataques Direcionados a ONGs e Universidades

LucidRook é um backdoor baseado em Lua que visou ONGs e universidades taiwanesas por meio de duas cadeias de phishing direcionado em outubro de 2025. Uma cadeia baseada em LNK onde um arquivo protegido por senha entrega uma carta governamental isca junto com um dropper LucidPawn que realiza DLL-sideloading de LucidRook através de um executável do Microsoft Edge renomeado. A segunda é uma cadeia baseada em EXE usando um instalador falso da Trend Micro para atingir o mesmo resultado.

Uma vez em execução, LucidRook busca payloads de bytecode Lua de segunda etapa de um C2 (hospedado brevemente e removido após a entrega para dificultar a forense), coleta dados de reconhecimento do sistema, criptografa-os com RSA em arquivos protegidos por senha e os exfiltra via FTP. Uma ferramenta auxiliar, LucidKnight, abusa do GMTP do Gmail para exfiltração de dados. Defensores devem procurar por sideloading de DismCore[.]dll, tráfego FTP de saída de cargas de trabalho que não sejam de servidor e tráfego anômalo da Gmail API a partir de endpoints como pontos de detecção iniciais.