В октябре 2025 года исследователи из Cisco Talos раскрыли деятельность ранее неизвестной хакерской группировки, получившей обозначение UAT-10362. Группа ведёт целенаправленные атаки на тайваньские неправительственные организации и, предположительно, университеты. Главное оружие атакующих — многоуровневый набор вредоносных инструментов, построенный сразу на нескольких языках программирования, центральным элементом которого является стейджер LucidRook.
Исследователь Cisco Talos Эшли Шен описала UAT-10362 как зрелую и технически подкованную группу. Атаки не носят массового характера. Каждая кампания нацелена на конкретную жертву, а инструментарий спроектирован так, чтобы максимально усложнить анализ и работать только на нужных машинах. В ход идут фишинговые письма с вложениями в формате RAR или 7-Zip, внутри которых спрятаны вредоносные компоненты.
LucidRook, ключевой элемент всей цепочки, представляет собой 64-битную DLL-библиотеку для Windows, написанную с использованием встроенного интерпретатора Lua версии 5.4.8 и скомпилированных на Rust библиотек. Код сильно обфусцирован. Функционально LucidRook работает в двух направлениях: во-первых, собирает информацию о системе жертвы и отправляет её на внешний сервер, а во-вторых, принимает, расшифровывает и запускает зашифрованную полезную нагрузку в виде Lua-байткода. Такая двойная архитектура позволяет операторам гибко менять задачи прямо на лету, не пересобирая малварь.
Доставкой LucidRook на машину занимается дроппер LucidPawn. Именно в нём реализован механизм геофенсинга: при запуске LucidPawn проверяет системный язык интерфейса и продолжает работу только если обнаруживает значение «zh-TW» — традиционный китайский, используемый на Тайване. Если язык другой, выполнение прекращается. Этот трюк не только ограничивает круг жертв до целевого региона, но и затрудняет срабатывание в песочницах аналитиков, которые обычно настроены на английский.
Перед тем как доставить LucidRook, атакующие нередко проводят разведку с помощью ещё одного инструмента — LucidKnight. Это тоже 64-битная Windows DLL, задача которой — собрать профиль системы жертвы и отправить данные через Gmail на одноразовый почтовый адрес. По результатам этой разведки операторы, видимо, решают, стоит ли продолжать атаку на конкретную цель.
Cisco Talos описала две отдельные цепочки заражения. Первая построена на LNK-файлах: жертва открывает архив, видит ярлык Windows с иконкой PDF-документа, кликает по нему — и запускается PowerShell-скрипт. Тот вызывает легитимный исполняемый файл index.exe, который уже лежит в архиве, и через механизм боковой загрузки DLL (DLL side-loading) подгружает LucidPawn. А LucidPawn тем же способом запускает LucidRook. Вторая цепочка проще: в архиве 7-Zip лежит файл Cleanup.exe, замаскированный под программу от Trend Micro. По сути это.NET-дроппер, который через боковую загрузку DLL запускает LucidRook, а пользователю показывает безобидное уведомление о завершении очистки. Обе цепочки злоупотребляют одной и той же техникой — DLL side-loading, что говорит о сознательной ставке на этот метод обхода защит.
Инфраструктура управления тоже заслуживает внимания. UAT-10362 не разворачивает собственные серверы, а злоупотребляет сервисами Out-of-band Application Security Testing (OAST) и использует скомпрометированные FTP-серверы. Это дешёво, сложно отслеживается и не оставляет прямых следов, ведущих к операторам.
Cisco Talos выделила несколько качеств, которые делают UAT-10362 заметно опаснее среднестатистических APT-группировок: модульная архитектура на нескольких языках программирования, многослойные механизмы противодействия анализу, скрытная обработка полезных нагрузок и стратегическая опора на публичную или чужую скомпрометированную инфраструктуру. По совокупности этих признаков группа оценивается как обладающая зрелым операционным мастерством, хотя ранее она нигде не фигурировала и не была задокументирована ни одним вендором.
Выбор целей — тайваньские НКО и академические учреждения — вписывается в логику кибершпионажа, ориентированного на сбор политически и стратегически значимой информации о Тайване. Геофенсинг по языку «zh-TW» фактически превращает малварь в оружие с географическим прицелом: даже если семпл попадёт к исследователю в другой стране, он просто не сработает.
На момент публикации в октябре 2025 года Cisco Talos продолжала мониторинг активности UAT-10362. Сколько организаций уже пострадало, публично не раскрывалось, но сам факт обнаружения настолько продуманного и ранее неизвестного инструментария указывает на то, что группа могла действовать незамеченной довольно продолжительное время.
Изображение носит иллюстративный характер
Исследователь Cisco Talos Эшли Шен описала UAT-10362 как зрелую и технически подкованную группу. Атаки не носят массового характера. Каждая кампания нацелена на конкретную жертву, а инструментарий спроектирован так, чтобы максимально усложнить анализ и работать только на нужных машинах. В ход идут фишинговые письма с вложениями в формате RAR или 7-Zip, внутри которых спрятаны вредоносные компоненты.
LucidRook, ключевой элемент всей цепочки, представляет собой 64-битную DLL-библиотеку для Windows, написанную с использованием встроенного интерпретатора Lua версии 5.4.8 и скомпилированных на Rust библиотек. Код сильно обфусцирован. Функционально LucidRook работает в двух направлениях: во-первых, собирает информацию о системе жертвы и отправляет её на внешний сервер, а во-вторых, принимает, расшифровывает и запускает зашифрованную полезную нагрузку в виде Lua-байткода. Такая двойная архитектура позволяет операторам гибко менять задачи прямо на лету, не пересобирая малварь.
Доставкой LucidRook на машину занимается дроппер LucidPawn. Именно в нём реализован механизм геофенсинга: при запуске LucidPawn проверяет системный язык интерфейса и продолжает работу только если обнаруживает значение «zh-TW» — традиционный китайский, используемый на Тайване. Если язык другой, выполнение прекращается. Этот трюк не только ограничивает круг жертв до целевого региона, но и затрудняет срабатывание в песочницах аналитиков, которые обычно настроены на английский.
Перед тем как доставить LucidRook, атакующие нередко проводят разведку с помощью ещё одного инструмента — LucidKnight. Это тоже 64-битная Windows DLL, задача которой — собрать профиль системы жертвы и отправить данные через Gmail на одноразовый почтовый адрес. По результатам этой разведки операторы, видимо, решают, стоит ли продолжать атаку на конкретную цель.
Cisco Talos описала две отдельные цепочки заражения. Первая построена на LNK-файлах: жертва открывает архив, видит ярлык Windows с иконкой PDF-документа, кликает по нему — и запускается PowerShell-скрипт. Тот вызывает легитимный исполняемый файл index.exe, который уже лежит в архиве, и через механизм боковой загрузки DLL (DLL side-loading) подгружает LucidPawn. А LucidPawn тем же способом запускает LucidRook. Вторая цепочка проще: в архиве 7-Zip лежит файл Cleanup.exe, замаскированный под программу от Trend Micro. По сути это.NET-дроппер, который через боковую загрузку DLL запускает LucidRook, а пользователю показывает безобидное уведомление о завершении очистки. Обе цепочки злоупотребляют одной и той же техникой — DLL side-loading, что говорит о сознательной ставке на этот метод обхода защит.
Инфраструктура управления тоже заслуживает внимания. UAT-10362 не разворачивает собственные серверы, а злоупотребляет сервисами Out-of-band Application Security Testing (OAST) и использует скомпрометированные FTP-серверы. Это дешёво, сложно отслеживается и не оставляет прямых следов, ведущих к операторам.
Cisco Talos выделила несколько качеств, которые делают UAT-10362 заметно опаснее среднестатистических APT-группировок: модульная архитектура на нескольких языках программирования, многослойные механизмы противодействия анализу, скрытная обработка полезных нагрузок и стратегическая опора на публичную или чужую скомпрометированную инфраструктуру. По совокупности этих признаков группа оценивается как обладающая зрелым операционным мастерством, хотя ранее она нигде не фигурировала и не была задокументирована ни одним вендором.
Выбор целей — тайваньские НКО и академические учреждения — вписывается в логику кибершпионажа, ориентированного на сбор политически и стратегически значимой информации о Тайване. Геофенсинг по языку «zh-TW» фактически превращает малварь в оружие с географическим прицелом: даже если семпл попадёт к исследователю в другой стране, он просто не сработает.
На момент публикации в октябре 2025 года Cisco Talos продолжала мониторинг активности UAT-10362. Сколько организаций уже пострадало, публично не раскрывалось, но сам факт обнаружения настолько продуманного и ранее неизвестного инструментария указывает на то, что группа могла действовать незамеченной довольно продолжительное время.
