Lua

Um novo malware baseado em Lua, chamado LucidRook, está sendo utilizado em campanhas de spear-phishing que visam organizações não governamentais e universidades em Taiwan. Pesquisadores da Cisco Talos atribuíram o malware a um grupo de ameaças conhecido internamente como UAT-10362, caracterizado como um adversário capaz com táticas operacionais maduras. O LucidRook foi observado em ataques em outubro de 2025, onde e-mails de phishing continham arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção: uma usando um arquivo de atalho LNK que entregou um dropper de malware chamado LucidPawn, e outra baseada em um executável falso de antivírus que se passava por um serviço da Trend Micro. O LucidPawn, por sua vez, descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, juntamente com uma DLL maliciosa para carregar o LucidRook. O malware é notável por seu design modular e ambiente de execução Lua, permitindo que os operadores atualizem funcionalidades sem modificar o núcleo do malware, além de dificultar a visibilidade forense. Durante a execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuários e aplicativos instalados, que são criptografadas e exfiltradas para a infraestrutura controlada pelos atacantes. A Cisco Talos conclui que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada, embora não tenham conseguido capturar o bytecode Lua descriptografável, o que limita o conhecimento sobre as ações pós-infecção.

Um novo grupo de ameaças cibernéticas, denominado UAT-10362, foi identificado em campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) e universidades em Taiwan. O grupo utiliza um malware sofisticado chamado LucidRook, que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL). A Cisco Talos, responsável pela descoberta, relatou que o ataque foi iniciado em outubro de 2025, utilizando arquivos compactados RAR ou 7-Zip para entregar um dropper chamado LucidPawn. Este dropper, por sua vez, executa um arquivo de disfarce e inicia o LucidRook. Existem duas cadeias de infecção distintas: uma baseada em arquivos de atalho do Windows (LNK) e outra envolvendo um executável que se apresenta como um programa antivírus da Trend Micro. O LucidRook é projetado para coletar informações do sistema e exfiltrá-las para um servidor externo, além de receber e executar cargas úteis em bytecode Lua. O uso de técnicas de geofencing permite que o malware opere apenas em ambientes de língua chinesa tradicional, limitando sua execução a Taiwan. A complexidade e a modularidade do malware indicam que UAT-10362 é um ator de ameaças altamente capacitado, com um foco em operações furtivas e específicas para suas vítimas.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.