臺灣非政府組織、大學遭到Lua惡意軟體LucidRook攻擊

針對感染LucidRook的途徑，Talos指出大致可歸納成兩種方法，分別是使用惡意LNK檔案與EXE檔，不過，這些手法存在共通點，駭客都濫用外部應用程式安全測試（OAST）服務，並滲透FTP伺服器充當C2基礎設施。

在調查LucidRook的過程裡，Talos還找到另一個惡意程式LucidKnight，此為偵察工具，能透過Gmail竊取受害電腦的系統資訊。因此Talos研判，UAT-10362可能事先使用LucidKnight分析攻擊目標，然後再進行完整的LucidRook感染鏈。

在其中一起發生在2025年10月的網釣活動裡，駭客鎖定臺灣的非政府組織，根據此信件的中繼資料內容，駭客疑似從經過授權的郵件基礎設施寄出，這代表攻擊者事先可能掌握合法的管道。釣魚信內含短網址，一旦點選，便會下載受到密碼保護的壓縮檔，駭客在信件內文提供解壓縮的密碼。

若是使用LNK檔的感染行動，駭客將此檔案以PDF圖示引誘收信人上當，一旦收信人點選執行，電腦就會執行PowerShell測試框架指令碼，濫用部署映像服務與管理（DISM）公用程式側載LucidPawn，此惡意程式會執行LucidRook，並將原本的LNK檔案刪除，置換PDF、Word或Excel檔案，然後開啟Edge，以分散受害者的注意。

另一種感染鏈是透過EXE檔觸發，攻擊者使用.NET打造的可執行檔，其中一個具備趨勢科技防毒軟體的圖示，根據檔名，Talos認為可能是模仿Worry-Free Business Security Services的清理工具。值得留意的是，若是使用者執行，駭客同樣透過DISM工具啟動LucidRook，後續還會顯示清理完成的訊息，讓使用者以為此工具確實執行了相關清理工作。