Malware LucidRook ataca ONGs taiwanesas con correos trampa

Un grupo de hackers llamado UAT-10362 está atacando a organizaciones no gubernamentales (ONGs) en Taiwán. Lo hacen mediante correos electrónicos engañosos (spear-phishing) que instalan un nuevo programa malicioso llamado LucidRook. Investigadores de Cisco Talos descubrieron esta actividad en octubre de 2025. El objetivo de los hackers es espiar y robar información de estas organizaciones.

Cómo funciona el ataque

Los hackers utilizan archivos RAR o 7-Zip infectados. Estos archivos contienen un programa llamado LucidPawn que, al ejecutarse, abre un documento falso para no levantar sospechas y, en segundo plano, instala el malware LucidRook. Este ataque aprovecha una técnica llamada "DLL side-loading", que consiste en engañar al sistema para que cargue una biblioteca maliciosa en lugar de una legítima.

• Correo trampa: El usuario recibe un correo con un archivo adjunto (RAR o 7-Zip).
• Archivo infectado: Dentro del archivo hay un programa llamado LucidPawn.
• DLL side-loading: LucidPawn usa esta técnica para instalar LucidRook.
• Malware en acción: LucidRook recopila información del sistema y la envía a un servidor externo. También puede recibir instrucciones para ejecutar otras acciones maliciosas.

Existen dos formas principales en que se propaga LucidRook:

• Archivos LNK: El archivo parece ser un documento PDF, pero al hacer clic, ejecuta un script que instala LucidPawn y luego LucidRook.
• Ejecutables falsos: El archivo se disfraza de un programa antivirus de Trend Micro. Al ejecutarlo, instala directamente LucidRook.

Qué hace LucidRook

LucidRook es un programa malicioso complejo diseñado para:

• Recopilar información: Roba datos del sistema infectado y los envía a un servidor controlado por los atacantes.
• Ejecutar código malicioso: Recibe código Lua encriptado y lo ejecuta en el equipo víctima, usando un intérprete Lua 5.4.8 que lleva incorporado.

Además, los atacantes utilizan servidores FTP comprometidos y servicios OAST ("Out-of-band Application Security Testing") para controlar los equipos infectados (comando y control o C2).

A quién afecta

Este ataque está dirigido específicamente a ONGs taiwanesas. LucidPawn, el programa que instala LucidRook, verifica que el sistema operativo esté configurado para usar el idioma chino tradicional ("zh-TW"). Esto indica que los atacantes buscan objetivos muy concretos en esa región.

También se ha detectado una herramienta adicional, LucidKnight, que se utiliza para recopilar información y enviarla a una dirección de Gmail temporal. Esto sugiere que los atacantes podrían estar utilizando esta herramienta para evaluar a las víctimas antes de instalar LucidRook.

Qué significa esto para ti

Si trabajas en una ONG, especialmente en Taiwán, ten mucho cuidado con los correos electrónicos sospechosos y los archivos adjuntos. No abras archivos de fuentes desconocidas y asegúrate de tener un buen antivirus actualizado. Este ataque demuestra que los hackers están cada vez más sofisticados y buscan objetivos específicos. La prevención y la concienciación son clave para protegerte.