UAT-10362 Serang Lembaga Swadaya Masyarakat Taiwan dengan Malware LucidRook

Kelompok ancaman yang belum banyak diketahui sebelumnya, yang dinamakan UAT-10362, telah teridentifikasi melakukan kampanye spear-phishing yang menargetkan lembaga swadaya masyarakat (LSM) dan universitas di Taiwan. Kampanye ini menggunakan malware baru berbasis bahasa pemrograman Lua yang diberi nama LucidRook. Demikian menurut riset dari perusahaan keamanan siber Cisco Talos yang diungkap pada April 2026.

Modus Operandi dan Teknik Serangan UAT-10362

Menurut Ashley Shen, peneliti dari Cisco Talos, LucidRook adalah sebuah stager malware canggih yang menggabungkan interpreter Lua dan pustaka yang dikompilasi dengan bahasa Rust ke dalam sebuah dynamic-link library (DLL). Malware ini mampu mengunduh dan mengeksekusi payload dalam bentuk bytecode Lua secara bertahap, meningkatkan kemampuannya untuk tetap tersembunyi dan sulit dideteksi.

Aktivitas serangan ini ditemukan pertama kali pada Oktober 2025. Kampanye menggunakan lure berupa arsip berformat RAR atau 7-Zip yang berisi dropper bernama LucidPawn. Setelah dieksekusi, LucidPawn membuka file umpan dan meluncurkan LucidRook. Teknik DLL side-loading juga menjadi fitur utama yang digunakan untuk menjalankan kedua malware tersebut, meningkatkan efektivitas penyusupan.

Dua Jalur Infeksi Menuju LucidRook

Serangan UAT-10362 menggunakan dua rantai infeksi berbeda untuk menyebarkan LucidRook:

1. Rantai infeksi berbasis Windows Shortcut (LNK): File LNK yang menggunakan ikon PDF mengelabui korban untuk mengkliknya. Ketika diklik, file ini menjalankan skrip PowerShell yang memanggil sebuah aplikasi Windows asli bernama "index.exe" dari arsip. Aplikasi ini kemudian memuat DLL berbahaya, yaitu LucidPawn, yang selanjutnya menjalankan LucidRook dengan metode DLL side-loading.
2. Rantai infeksi berbasis executable (EXE): File "Cleanup.exe" yang menyamar sebagai program antivirus dari Trend Micro di dalam arsip 7-Zip bertindak sebagai dropper .NET sederhana. File ini juga menggunakan DLL side-loading untuk mengeksekusi LucidRook. Setelah dijalankan, program ini menampilkan pesan bahwa proses pembersihan telah selesai, yang berfungsi sebagai umpan untuk menenangkan korban.

Fitur dan Fungsi Malware LucidRook

LucidRook adalah DLL Windows 64-bit yang sangat terobfuscate, sehingga sulit dianalisis dan dideteksi oleh perangkat keamanan. Malware ini memiliki dua fungsi utama:

• Mengumpulkan informasi sistem dan mengirimkannya ke server eksternal.
• Menerima payload bytecode Lua yang terenkripsi, mendekripsinya, lalu mengeksekusi payload tersebut menggunakan interpreter Lua 5.4.8 yang tertanam di dalamnya.

Secara taktis, pelaku juga memanfaatkan layanan Out-of-band Application Security Testing (OAST) dan server FTP yang dikompromikan sebagai infrastruktur command-and-control (C2), sehingga meningkatkan kemampuan malware untuk beroperasi secara tersembunyi.

Teknik Geofencing dan Malware Pendukung LucidKnight

Salah satu teknik canggih yang digunakan adalah geofencing. LucidPawn memeriksa bahasa antarmuka pengguna (UI) sistem operasi dan hanya melanjutkan eksekusi jika bahasa tersebut adalah Traditional Chinese (zh-TW), yang merupakan indikator geografis Taiwan. Teknik ini membatasi target pada wilayah yang diinginkan dan menghindari deteksi oleh sistem sandbox analisis malware yang umum.

Selain itu, ditemukan varian dropper yang juga menginstal DLL Windows 64-bit lain bernama LucidKnight. Malware ini memiliki kemampuan untuk mengekstraksi informasi sistem dan mengirimkannya melalui Gmail ke alamat email sementara. Kehadiran LucidKnight bersama LucidRook mengindikasikan bahwa pelaku menggunakan toolkit berlapis, dengan LucidKnight berfungsi sebagai alat pengintaian sebelum pengiriman payload utama LucidRook.

Profil Pelaku dan Karakteristik Kampanye

Sampai saat ini, data yang terungkap menunjukkan bahwa UAT-10362 merupakan aktor ancaman yang sangat terampil dan terorganisasi, mengutamakan fleksibilitas, penyamaran, dan penyesuaian tugas berdasarkan target spesifik. Cisco Talos menyatakan:

"Desain modular multi-bahasa, fitur anti-analisis bertingkat, penanganan payload yang fokus pada penyamaran, serta ketergantungan pada infrastruktur yang dikompromikan atau publik, menunjukkan bahwa UAT-10362 adalah aktor ancaman yang sangat mampu dengan keahlian operasional yang matang."

Analisis Redaksi

Menurut pandangan redaksi, munculnya UAT-10362 dengan malware LucidRook menandai peningkatan eskalasi serangan siber yang sangat terfokus dan canggih terhadap lembaga kritis di Taiwan, khususnya LSM dan universitas. Penggunaan teknik seperti DLL side-loading, geofencing bahasa sistem, dan pemanfaatan infrastruktur publik atau kompromi menunjukkan bahwa aktor ini tidak hanya ingin memperoleh data tetapi juga menghindari deteksi jangka panjang.

Hal ini penting untuk diperhatikan karena model serangan seperti ini bisa menjadi blueprint serangan lanjutan di wilayah lain. Pemerintah, organisasi keamanan, dan lembaga yang berpotensi menjadi target harus meningkatkan kewaspadaan khususnya terhadap email mencurigakan dan file arsip yang tidak terduga. Investasi dalam teknologi deteksi lanjutan dan pelatihan kesadaran siber bagi pegawai menjadi kunci pertahanan.

Ke depan, kita harus memantau apakah UAT-10362 akan memperluas target atau mengembangkan toolkit mereka lebih jauh. Keterbukaan informasi dari perusahaan keamanan seperti Cisco Talos sangat membantu dalam menyiapkan pertahanan proaktif terhadap ancaman siber yang terus berevolusi ini.

Untuk informasi lebih lengkap dan perkembangan terkini tentang ancaman siber ini, Anda dapat membaca langsung laporan asli dari The Hacker News dan mengikuti update dari sumber terpercaya lainnya.