臺灣高校收到"政府公文"，點開后電腦被植入3層嵌套木馬

去年下半年，臺灣某大學行政人員收到一封郵件，附件是一份蓋著公章的"教育部函件"。解壓密碼寫在郵件正文里，一切看起來正規得無可挑剔。這份文件的真實身份，是一個偽裝成趨勢科技安全軟件的惡意程序——點擊后，一臺Lua解釋器、Rust庫和Windows DLL層層嵌套的后門，悄然接管了系統。

Cisco Talos（思科威脅情報團隊）追蹤到這個代號"UT"的黑客組織時，發現他們已經把魚叉式釣魚玩出了新高度。目標鎖定臺灣非政府組織和高校，所有誘餌文檔都用繁體中文撰寫，連政府公文的格式都模仿得惟妙惟肖。這不是廣撒網的勒索軟件生意，而是一場精心策劃的滲透。

第一層偽裝：把木馬包裝成"殺毒軟件"

攻擊鏈條的起點是LucidPan——一個被Talos研究員點名的投放器。它的圖標、應用名稱、甚至數字簽名都照搬趨勢科技的產品，受害者看到的界面和正版安全軟件幾乎無異。

這種"借殼上市"的手法在APT攻擊里不算新鮮，但UT組織的細節處理相當老練。LucidPan會同時釋放一份真正的政府公文作為煙霧彈，讓用戶以為自己在安裝防護程序的同時，順手打開了工作文件。惡意代碼的執行被拆分成多個步驟，每一步都踩著Windows系統的正常行為做掩護。

具體來說，LucidPan利用的是DLL搜索順序劫持（DLL Search Order Hijacking）。它把一個名為DismCore.dll的惡意文件，塞進Windows部署映像服務和管理（DISM）框架的目錄里，旁邊放著合法的index.exe。用戶點擊偽裝成快捷方式的LNK文件時，index.exe會"自然"加載這個被調包的DLL——系統層面的信任鏈沒有被破壞，殺毒軟件也很難嗅出異常。

持久化機制同樣走"合法程序代理"路線：一個指向msedge.exe的快捷方式被放進Windows啟動文件夾，偽裝成Edge瀏覽器的正常啟動。實際上它觸發的是藏在%APPDATA%目錄里的后續載荷，DismCore.dll本身也被重命名和隱藏，混在一堆系統臨時文件里。

第二層架構：用Lua和Rust搭建"俄羅斯套娃"

LucidRook的核心設計暴露了這個組織的技術取向。它不是一個單一的惡意程序，而是一個"分階段加載器"（Stager）——本身只負責搭建環境，真正的功能模塊按需下載執行。

這個加載器的內部結構相當少見：內嵌一個完整的Lua解釋器，配合Rust語言編譯的庫，最終封裝成Windows DLL格式。Lua腳本語言的輕量特性讓它適合快速迭代攻擊邏輯，Rust則提供了內存安全和反編譯難度，兩者組合在APT工具里并不常見。

Talos團隊還發現了LucidRook的"偵察兵"兄弟：LucidNight。這個配套工具專門負責收集目標環境信息——操作系統版本、安裝軟件、網絡配置——然后把數據回傳。它的存在說明UT組織采用"先偵察、后下手"的分層策略：用LucidNight篩選高價值目標，再決定是否投放完整的LucidRook后門。

這種工具鏈的模塊化設計，讓防御方很難通過單一特征做阻斷。每個組件看起來都平平無奇，組合起來卻能完成權限維持、數據竊取、橫向移動的全套操作。

第三層意圖：為什么偏偏是臺灣的高校和NGO？

Cisco Talos給這次活動的定性是"中等置信度的定向入侵"，而非 opportunistic（機會主義）的廣撒網攻擊。幾個細節支撐這個判斷：繁體中文的精準本地化、政府公文的社會工程學設計、以及針對特定機構類型的持續投放。

高校和NGO的共同點是——網絡防御預算有限，但持有的數據價值不低。學術機構的科研資料、涉臺研究項目、國際交流記錄；NGO的捐贈者數據庫、活動參與者信息、內部通訊——這些都不是能直接變現的"數字資產"，卻對特定情報需求方有長期價值。

UT組織的身份尚未被公開歸因到具體國家背景，但攻擊手法顯示出典型的APT特征：耐心、資源充足、技術棧混搭。Lua+Rust的組合在東亞某些地區的工具開發傳統里有跡可循，不過Talos報告沒有給出進一步指向。

值得注意的一個技術細節是密碼保護壓縮包的使用。這既是規避郵件網關檢測的常見手段，也制造了一種"專屬感"——受害者需要手動輸入密碼才能解壓，這個小小的交互步驟反而增強了釣魚的可信度。攻擊者甚至懶得用復雜的密碼，簡單的數字組合就足夠讓自動化沙箱束手無策。

防御這類攻擊的難點在于"信任鏈的完整性"被系統性利用。從政府公文的視覺信任，到知名安全軟件的品牌信任，再到Windows系統組件的行為信任——每一層都是真實的，只是被拼接成了虛假的場景。終端用戶很難在點擊瞬間識別這種嵌套欺騙，依賴傳統特征碼的殺毒軟件同樣會在多層加載中丟失追蹤。

Talos建議的檢測點包括監控異常的DISM框架調用、啟動文件夾中指向瀏覽器的可疑LNK文件、以及%APPDATA%目錄下非常規的DLL活動。但對于缺乏專業安全運營團隊的高校和NGO來說，這些技術措施的實施成本并不低。

一個尚未解答的問題是：LucidRook的完整載荷究竟包含哪些功能模塊？Talos目前只捕獲了加載器階段，后續的分階段下載內容因目標環境限制未能完整還原。這意味著實際受害系統中可能還潛伏著更深層的組件，而它們的設計目的——數據竊取、監控、還是作為跳板——仍然籠罩在Lua解釋器的黑箱里。