サブサーチ内で、ダブルクォートで括るところがポイントのようです。

環境

• Splunk 8.0

方法

| makeresults 1
| eval foo = [
| inputlookup geo_attr_countries
| where country="Aruba" 
| eval bar = "\""+country+"\""
| return $bar
]

参考

Solved: How to assign a string value from a subsearch to a... - Splunk Community