https://cyberveille.ch/tags/lucidknight/ Recent content in LucidKnight on CyberVeille Hugo -- 0.146.0 fr-fr Sun, 12 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-12-lucidrook-malware-lua-ciblant-des-ong-et-universites-taiwanaises-via-spear-phishing/ Sun, 12 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-12-lucidrook-malware-lua-ciblant-des-ong-et-universites-taiwanaises-via-spear-phishing/ <h2 id="-contexte">🔍 Contexte</h2> <p>Cisco Talos a publié le 8 avril 2026 une analyse technique détaillée d&rsquo;un cluster d&rsquo;activité malveillante désigné <strong>UAT-10362</strong>, conduisant des campagnes de <strong>spear-phishing ciblées</strong> contre des <strong>organisations non gouvernementales (ONG) et des universités taïwanaises</strong>. La première attaque observée remonte à <strong>octobre 2025</strong>.</p> <h2 id="-vecteur-dinfection-et-chaînes-dinfection">🎯 Vecteur d&rsquo;infection et chaînes d&rsquo;infection</h2> <p>Deux chaînes d&rsquo;infection distinctes ont été identifiées :</p> <ul> <li><strong>Chaîne LNK</strong> : archive RAR protégée par mot de passe contenant un fichier LNK déguisé en document PDF, exploitant <strong>DLL sideloading</strong> via <code>DismCore.dll</code> (LucidPawn) et le binaire légitime DISM (<code>index.exe</code>). Utilisation de <strong>LOLBAS</strong> via <code>Build.bat</code> (Pester PowerShell framework).</li> <li><strong>Chaîne EXE</strong> : archive 7-Zip nommée <code>Cleanup(33665512).7z</code> contenant un exécutable <code>.NET</code> se faisant passer pour <strong>Trend Micro Worry-Free Business Security Services</strong>, avec un timestamp de compilation falsifié (2065).</li> </ul> <p>Dans les deux cas, la persistance est établie via un <strong>fichier LNK dans le dossier Startup</strong>, et des <strong>documents leurres</strong> (directives gouvernementales taïwanaises) sont affichés pour distraire la victime.</p>