Au cours des dernières semaines, des chercheurs en sécurité ont détecté une campagne de phishing à l'intention d'organisations non gouvernementales et d'universités à Taiwan qui utilise des logiciels malveillants écrits à Lua. Les premières analyses, menées par Cisco Talos ils ont baptisé cette menace comme LucidRook et l'attribuent à un acteur qu'ils appellent en interne UAT-10362, qu'ils décrivent comme un adversaire avec des tactiques et des procédures avancées.
Le mode de livraison observé en octobre 2025 est basé sur le courrier dirigé, qui contient des fichiers compressés protégés par mot de passe. En ouvrant ces attaches, les chaînes d'infection observées suivent deux chemins différents. On profite d'un accès LNK - un accès direct Windows - qui sert de leurre et finit par exécuter un dropper appelé LucidPawn. D'autre part, un faux exécutable est utilisé qui est destiné à être un logiciel légitime de sécurité d'affaires, offrant ainsi une apparence crédible pour tromper le destinataire. Les chercheurs soulignent que dans le cas de l'accès au LNK, des documents d'apparence officielle, comme des communications gouvernementales présumées, ont été joints dans l'intention de distraire l'utilisateur pendant que le code malveillant faisait son travail.
Une fois activé, LucidPawn installe une copie légitime d'un binaire système réputé pour ressembler à un navigateur et développe une bibliothèque malveillante - enregistrée sous DismCore.dll - qui profite de la technique de chargement latéral pour exécuter LucidRook. Cette utilisation d'exécutables légitimes pour cacher des composants malveillants n'est pas nouvelle, mais dans ce cas elle est efficace parce qu'elle combine camouflage avec des méthodes qui compliquent l'observation et l'analyse médico-légale.
Ce qui rend LucidRook particulièrement intéressant pour les analystes est son architecture modulaire et l'inclusion d'un Lua intégré dans le binaire. Au lieu de contenir toutes les fonctions en code natif, les logiciels malveillants peuvent télécharger des étapes secondaires codées comme bytecode de Lua et les exécuter dans cet environnement. Cette stratégie offre plusieurs avantages pour les attaquants: elle permet de déployer de nouvelles capacités sans toucher le noyau binaire, elle accélère l'adaptation des logiciels malveillants à des cibles spécifiques et réduit les preuves statiques que les défenseurs cherchent souvent.
En plus de l'utilisation de Lua, les auteurs ont appliqué une forte désuscation aux chaînes internes, extensions de fichiers, identifiants et adresses de commande et de contrôle, ce qui complique le travail de ceux qui essaient d'investir le logiciel malveillant. Selon les techniciens Talos, cette combinaison d'interprète intégré et d'obfuscation a un double effet : d'une part elle facilite des changements rapides de comportement, et d'autre part elle entrave la reconstruction de l'incident si l'équipement affecté récupère seulement le chargeur et non la charge utile extérieure hébergée.
Dans ses routines, LucidRook recueille les données de reconnaissance du système : noms d'utilisateur et d'équipement, applications installées et processus d'exécution. Les informations prises sont numérotées avec RSA, emballées dans des fichiers protégés par mot de passe et, comme on l'a vu, envoyées à l'infrastructure contrôlée par les attaquants par FTP. Au cours de l'analyse, les chercheurs ont également identifié un outil connexe, appelé LucidKnight, qui semble consacré au travail de reconnaissance et qui intègre d'autres méthodes d'exfiltration, comme l'abus du protocole GMTP de Gmail pour transférer des données, suggérant l'existence d'un ensemble flexible d'outils adaptés aux différents besoins opérationnels.
Les experts de Talos concluent avec une confiance moyenne que ces incidents font partie d'une campagne ciblée. Cependant, ils n'ont pas réussi à capturer une version déchiffrable de l'octécode Lua que LucidRook devrait obtenir de ses serveurs, de sorte que les actions exactes que les logiciels malveillants auraient exécuté une fois le contrôle établi ne peuvent toujours pas être confirmées. Cette lacune montre l'un des principaux défis pour enquêter sur les menaces qui sous-traitent sa logique en composants éphémères : si la charge utile hébergée dans le réseau attaquant est rapidement éliminée, la visibilité subséquente est sérieusement compromise.
Pour ceux qui gèrent la sécurité dans les organisations qui pourraient être ciblées par de telles attaques, il y a des leçons claires: la combinaison de techniques sociales (abordées avec des pièces jointes protégées), des leurres convaincants (documents officiels ou imitations de logiciels de sécurité) et des chargeurs utilisant des binaires légitimes nécessite une défense approfondie. Le maintien de politiques strictes sur l'ouverture de fichiers compressés protégés, le renforcement de la détection de comportements inhabituels dans les paramètres et l'examen des contrôles d'implémentation pour limiter l'utilisation de sideloading renommé et binaire sont des mesures qui peuvent réduire les risques. Il est également important que les équipes d'intervention aient la capacité de capturer le trafic et les premiers artefacts; si le stade Lua n'est logé que pour une courte période, chaque minute compte pour récupérer des preuves.
Si vous voulez approfondir l'analyse technique, le rapport Cisco Talos est la principale référence disponible pour le public sur cette campagne et fournit des détails sur les chaînes d'infection et les décisions de conception de logiciels malveillants. Vous pouvez le consulter directement sur le blog Talos: Analyse de LucidRook par Cisco Talos. Pour comprendre le type de produit que les attaquants ont imité dans l'une des chaînes, les informations sur la solution commerciale qui a été supplantée sont disponibles sur le site web du fournisseur: Trend Services de sécurité aux entreprises sans souci. Et si vous êtes intéressé par pourquoi insérer un interprète comme Lua change les règles du jeu, la documentation officielle elle-même Lua explique comment fonctionne ce langage léger qui, par sa conception, facilite l'intégration dans d'autres programmes.
Bref, LucidRook rappelle que les adversaires continuent d'innover dans la combinaison d'ingénierie sociale et de techniques techniques sophistiquées. La présence de composants dynamiques et de stades éphémères nécessite la combinaison de la surveillance technique et de bonnes pratiques humaines : la prévention et la détection précoce restent les meilleures défenses contre des campagnes ciblées comme celle-ci.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...