🔍 Contexte
Cisco Talos a publié le 8 avril 2026 une analyse technique détaillée d’un cluster d’activité malveillante désigné UAT-10362, conduisant des campagnes de spear-phishing ciblées contre des organisations non gouvernementales (ONG) et des universités taïwanaises. La première attaque observée remonte à octobre 2025.
🎯 Vecteur d’infection et chaînes d’infection
Deux chaînes d’infection distinctes ont été identifiées :
- Chaîne LNK : archive RAR protégée par mot de passe contenant un fichier LNK déguisé en document PDF, exploitant DLL sideloading via
DismCore.dll(LucidPawn) et le binaire légitime DISM (index.exe). Utilisation de LOLBAS viaBuild.bat(Pester PowerShell framework). - Chaîne EXE : archive 7-Zip nommée
Cleanup(33665512).7zcontenant un exécutable.NETse faisant passer pour Trend Micro Worry-Free Business Security Services, avec un timestamp de compilation falsifié (2065).
Dans les deux cas, la persistance est établie via un fichier LNK dans le dossier Startup, et des documents leurres (directives gouvernementales taïwanaises) sont affichés pour distraire la victime.
🦠 Arsenal malveillant : famille “Lucid”
LucidPawn (dropper)
- DLL 64-bit compilée en Rust, masquerade COM DLL
- Vérification géo-ciblée : exécution uniquement si la langue UI Windows est
zh-TW(0x0404) ouzh-HK(0x0C04) viaGetUserDefaultUILanguage() - Envoi d’une requête DNS vers
D.2fcc7078.digimg[.]store(service OAST publicdnslog[.]ink) pour confirmer l’infection - Schéma d’obfuscation de chaînes par XOR avec reconstruction de clé à l’exécution
LucidRook (stager)
- DLL Windows 64-bit (~1,6 Mo, >3 800 fonctions) embarquant un interpréteur Lua 5.4.8 et des bibliothèques compilées en Rust
- Télécharge un payload Lua bytecode chiffré (
archive1.zip) depuis un serveur FTP compromis (C2) - Collecte des informations système (nom d’utilisateur, nom machine, pilotes, processus, applications) stockées dans
1.bin,2.bin,3.bin, chiffrées avec une clé publique RSA embarquée, puis compressées dansarchive4.zipprotégé par mot de passe et exfiltrées via FTP - Point d’entrée via l’export
DllGetClassObject(sans fonctionnalité COM réelle) - Mode “safe mode” Lua désactivant
package.loadlib - Payloads différenciés par cible (mots de passe distincts par victime)
LucidKnight (outil de reconnaissance)
- DLL 64-bit avec composants Rust embarqués, même schéma d’obfuscation
- Collecte : nom machine, version OS, architecture CPU, usage CPU, processus, logiciels installés
- Données chiffrées RSA, archivées dans
archive.zip(mot de passe :xZh>1<{Km1YD3[V>x]X>=1u(Da)Y=N>u) - Exfiltration via Gmail SMTP (
smtp.gmail.com) depuisfexopuboriw972@gmail.comverscrimsonanabel@powerscrews.com - Sujet du mail en chinois traditionnel : “Sports Information Platform”
🌐 Infrastructure C2
- Deux serveurs FTP taïwanais compromis appartenant à des imprimeries locales ayant publié leurs identifiants FTP sur leurs sites officiels
- IPs C2 :
1.34.253[.]131et59.124.71[.]242 - Protocole FTP en clair avec identifiants embarqués et obfusqués dans le stager
- Utilisation du service OAST public
dnslog[.]inkpour confirmation de connectivité
📊 Évaluation
Talos évalue avec confiance moyenne qu’il s’agit d’une intrusion ciblée (non opportuniste), menée par un acteur mature avec un outillage modulaire et une tradecraft opérationnelle sophistiquée. Aucun payload Lua bytecode déchiffrable n’a encore été obtenu.
📄 Type d’article
Il s’agit d’une publication de recherche technique de Cisco Talos visant à permettre une détection précoce et à encourager le partage communautaire d’indicateurs pour faciliter l’attribution future.
🧠 TTPs et IOCs détectés
Acteurs de menace
- UAT-10362 (unknown) —
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1082 — System Information Discovery (Discovery)
- T1057 — Process Discovery (Discovery)
- T1518 — Software Discovery (Discovery)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1048.003 — Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (Exfiltration)
- T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
- T1071.002 — Application Layer Protocol: File Transfer Protocols (Command and Control)
- T1218 — System Binary Proxy Execution (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1560.001 — Archive Collected Data: Archive via Utility (Collection)
- T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
- T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
- T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
IOC
- IPv4 :
1.34.253.131— AbuseIPDB · VT · ThreatFox - IPv4 :
59.124.71.242— AbuseIPDB · VT · ThreatFox - Domaines :
digimg.store— VT · URLhaus · ThreatFox - Domaines :
dnslog.ink— VT · URLhaus · ThreatFox - Domaines :
D.2fcc7078.digimg.store— VT · URLhaus · ThreatFox - SHA256 :
d49761cdbea170dd17255a958214db392dc7621198f95d5eb5749859c603100a— VT · MalwareBazaar - SHA256 :
adf676107a6c2354d1a484c2a08c36c33d276e355a65f77770ae1ae7b7c36143— VT · MalwareBazaar - SHA256 :
b480092d8e5f7ca6aebdeaae676ea09281d07fc8ccf2318da2fa1c01471b818d— VT · MalwareBazaar - SHA256 :
c2d983d3812b5b6d592b149d627b118db2debd33069efe4de4e57306ba42b5dc— VT · MalwareBazaar - SHA256 :
6aba7b5a9b4f7ad4203f26f3fb539911369aeef502d43af23aa3646d91280ad9— VT · MalwareBazaar - SHA256 :
bdc5417ffba758b6d0a359b252ba047b59aacf1d217a8b664554256b5adb071d— VT · MalwareBazaar - SHA256 :
f279e462253f130878ffac820f5a0f9ac92dd14ad2f1e4bd21062bab7b99b839— VT · MalwareBazaar - SHA256 :
166791aac8b056af8029ab6bdeec5a2626ca3f3961fdf0337d24451cfccfc05d— VT · MalwareBazaar - SHA256 :
11ae897d79548b6b44da75f7ab335a0585f47886ce22b371f6d340968dbed9ae— VT · MalwareBazaar - SHA256 :
edb25fed9df8e9a517188f609b9d1a030682c701c01c0d1b5ce79cba9f7ac809— VT · MalwareBazaar - SHA256 :
0305e89110744077d8db8618827351a03bce5b11ef5815a72c64eea009304a34— VT · MalwareBazaar - SHA256 :
d8bc6047fb3fd4f47b15b4058fa482690b5b72a5e3b3d324c21d7da4435c9964— VT · MalwareBazaar - SHA256 :
aa7a3e8b59b5495f6eebc19f0654b93bb01fd2fa2932458179a8ae85fb4b8ec1— VT · MalwareBazaar - SHA256 :
fd11f419e4ac992e89cca48369e7d774b7b2e0d28d0b6a34f7ee0bc1d943c056— VT · MalwareBazaar - Emails :
fexopuboriw972@gmail.com - Emails :
crimsonanabel@powerscrews.com - Fichiers :
DismCore.dll - Fichiers :
archive1.zip - Fichiers :
archive4.zip - Fichiers :
archive.zip - Fichiers :
Cleanup.exe - Fichiers :
Cleanup( 33665512).7z - Fichiers :
index.bin - Fichiers :
1.bin - Fichiers :
2.bin - Fichiers :
3.bin - Fichiers :
msedge.exe - Fichiers :
Build.bat - Chemins :
%APPDATA%\Local\Microsoft\Windows Apps\msedge.exe - Chemins :
%APPDATA%\Local\Microsoft\Windows Apps\DismCore.dll - Chemins :
C:\ProgramData - Chemins :
C:\Program Files\WindowsPowerShell\Modules\Pester\3.4.0\Build.bat
Malware / Outils
- LucidRook (loader)
- LucidPawn (loader)
- LucidKnight (tool)
🟢 Indice de vérification factuelle : 95/100 (haute)
- ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
- ✅ 24623 chars — texte complet (fulltext extrait) (15pts)
- ✅ 37 IOCs dont des hashes (15pts)
- ✅ 6/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 20 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : UAT-10362 (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
1.34.253.131(ip) → VT (10/94 détections)59.124.71.242(ip) → VT (9/94 détections)d49761cdbea170dd…(sha256) → VT (26/77 détections)b480092d8e5f7ca6…(sha256) → VT (40/77 détections)digimg.store(domain) → VT (6/94 détections)
🔗 Source originale : https://blog.talosintelligence.com/new-lua-based-malware-lucidrook/