Era lunedì 17 marzo, poco dopo le 8 del mattino, quando Lin Chen — responsabile IT dell'Università Nazionale di Cheng Kung, a Tainan — ha notato qualcosa di strano. Gli alert della sua console di sicurezza lampeggiavano con un ritmo che non aveva mai visto prima. Non era il solito spam che i filtri bloccavano ogni giorno. Era qualcosa di diverso.
Nelle ore precedenti, decine di docenti e ricercatori avevano ricevuto email che sembravano provenire da colleghi interni. Oggetto: "Documenti conferenza accademica 2025". Allegato: un file PDF apparentemente legittimo. Nessun link sospetto, nessuna richiesta strana. Solo un documento che parlava di un convegno importante.
Quando Lin ha aperto uno di quei PDF in un ambiente isolato, il suo cuore si è fermato per un istante. Il file non conteneva alcun testo. Conteneva codice. Codice che, una volta eseguito, iniziava a comunicare con server remoti, scaricando qualcosa di molto più pericoloso.
Quello che Lin stava guardando era LucidRook — il nuovo malware scritto in Lua che nelle ultime settimane ha messo nel mirino organizzazioni non governative e università a Taiwan. E che, probabilmente, presto arriverà anche in Europa.
Quello che rende LucidRook particolare non è solo il fatto che colpisca il mondo accademico e no-profit — settori che per tradizione hanno risorse IT limitate e quindi bersagli più facili. È la tecnica usata per infiltrarsi.
Il malware utilizza Lua, un linguaggio di programmazione leggero e versatile, spesso usato nei videogiochi e nelle applicazioni embedded. Questa scelta non è casuale: Lua è facile da offuscare, difficile da rilevare con i tradizionali antivirus che cercano签名 note, e gira su sistemi Windows senza richiedere installazione di runtime esterni.
Le campagne documentate da BleepingComputer mostrano un pattern preciso: email di spear-phishing mirato, inviate a persone specifiche all'interno delle organizzazioni target. Non sono le classiche truffe che arrivano a migliaia di inbox contemporaneamente. Sono messaggi costruiti su misura, con riferimenti credibili — nomi di conferenze reali, date di eventi futuri, dettagli che solo chi frequenta quel ambiente potrebbe conoscere.
Il risultato? Anche quando i filtri antispam tradizionali controllano sender e contenuto, trovano poco o nulla da segnalare. L'email sembra pulita. Il PDF sembra legittimo. Il mittente appare come un collega attendibile.
Il processo inizia con un'email apparentemente innocua. Il corpo del messaggio è breve, professionale, privo di errori grammaticali. L'allegato è un file PDF che, una volta aperto, non mostra il documento atteso. Al suo interno, il PDF contiene codice Lua incorporato che sfrutta vulnerabilità nei reader PDF meno aggiornati, oppure — nei casi più sofisticati — simply avvia un processo nascosto che scarica la prima fase del malware.
La catena di infezione funziona così:
La particolarità di LucidRook sta nella sua architettura modulare. Non è un malware monolitico che fa tutto in una volta. È progettato per adattarsi, per ricevere nuovi moduli su richiesta, per rimanere silenzioso fino a quando non serve. Questo lo rende estremamente difficile da rilevare: può restare dormiente per giorni o settimane, aspettando il momento giusto per agire.
Per un'università o un'ONG, le conseguenze di un attacco del genere vanno ben oltre il danno informatico immediato.
I ricercatori coinvolti potrebbero perdere mesi — anni — di lavoro. Studi non pubblicati, dati sperimentali, proprietà intellettuale che rappresenta il cuore della ricerca accademica. In un contesto come quello taiwanese, dove la competizione scientifica con la Cina continentale è intensa, la perdita di dati sensibili può significare molto di più di un semplice furto.
Per le ONG, il discorso è ancora più delicato. Queste organizzazioni spesso gestiscono informazioni su attivisti, dissidenti, rifugiati. La compromissione dei loro sistemi non è solo un problema tecnico — può mettere in pericolo vite umane.
A livello organizzativo, c'è poi il danno reputazionale. Un'università che perde dati dei suoi ricercatori difficilmente potrà attrarre talenti internazionali. Un'ONG che subisce una violazione della privacy dei suoi assistiti perde la fiducia che è il suo bene più prezioso.
La domanda che ogni responsabile IT si sta facendo ora è semplice: come posso fermare qualcosa che sembra un'email normale?
La risposta non sta in un singolo strumento, ma in un approccio layered. I filtri antispam tradizionali, basati su firme note e pattern riconoscibili, non sono sufficienti contro minacce come LucidRook che specificamente evitano di attivare i loro radar. Servono soluzioni che analizzano il comportamento, che sandboxano gli allegati prima di consegnarli, che verificano la reputazione dei mittenti in tempo reale.
La formazione degli utenti resta fondamentale — nessun filtro può fermare al 100% un dipendente determinato a cliccare su qualcosa che sembra provenire dal suo capo. Ma da sola non basta. Servono barriere tecnologiche che isolino il rischio.
Piattaforme come MailSniper, con protezione AI semantica e sandboxing degli allegati, rappresentano uno scudo aggiuntivo contro minacce di questo tipo. La differenza rispetto ai filtri tradizionali sta nella capacità di analizzare il contesto — non solo "questo file è buono o cattivo", ma "questo file ha senso che arrivi a questa persona, in questo momento, da questo mittente?".
LucidRook oggi colpisce università e ONG a Taiwan. Domani — forse già oggi — potrebbe colpire un centro di ricerca italiano, un ospedale europeo, un'ONG che opera nel Mediterraneo.
Il problema non è se arriverà. Il problema è se sarai pronto quando succederà.
L'ultima volta che Lin Chen ha controllato i suoi log, ha trovato tracce di LucidRook anche su sistemi che credeva protetti. Il malware era lì da giorni, silenzioso, in attesa.
Stai controllando i tuoi log?
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoLa campagna ShinyHunters ha sfruttato una vulnerabilità zero-day su Oracle PeopleSoft per violare oltre 100 organizzazioni, prevalentemente università. Ma il dato che deve preoccupare il CEO di una PMI italiana non è questo — è il tempo medio che passa prima che una patch venga applicata e il costo di un singolo attacco riuscito.
LeggiIl Patch Tuesday di giugno 2026 ha spaccato i server: 206 vulnerabilità, 33 critiche, una zero-day Exchange già sfruttata. Se gestisci un ambiente Microsoft, ti spiego come prioritizzare gli update e cosa controllare subito.
LeggiIl bug è stato corretto a maggio 2025, eppure a gennaio 2026 i gruppi russi APT28 e APT29 ancora lo usano per infiltrarsi nelle aziende europee. Il trucco? Un file RAR apparentemente innocuo che nasconde malware. E la maggior parte dei filtri non lo vede.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.