LucidRook : malware Lua ciblant des ONG et universités taïwanaises via spear-phishing
🔍 Contexte Cisco Talos a publié le 8 avril 2026 une analyse technique détaillée d’un cluster d’activité malveillante désigné UAT-10362, conduisant des campagnes de spear-phishing ciblées contre des organisations non gouvernementales (ONG) et des universités taïwanaises. La première attaque observée remonte à octobre 2025. 🎯 Vecteur d’infection et chaînes d’infection Deux chaînes d’infection distinctes ont été identifiées : Chaîne LNK : archive RAR protégée par mot de passe contenant un fichier LNK déguisé en document PDF, exploitant DLL sideloading via DismCore.dll (LucidPawn) et le binaire légitime DISM (index.exe). Utilisation de LOLBAS via Build.bat (Pester PowerShell framework). Chaîne EXE : archive 7-Zip nommée Cleanup(33665512).7z contenant un exécutable .NET se faisant passer pour Trend Micro Worry-Free Business Security Services, avec un timestamp de compilation falsifié (2065). Dans les deux cas, la persistance est établie via un fichier LNK dans le dossier Startup, et des documents leurres (directives gouvernementales taïwanaises) sont affichés pour distraire la victime. ...