Operação DragonReturn usa utilitário falso de imposto de renda indiano para implantar DCRat

Operação DragonReturn usa utilitário falso de imposto de renda indiano para implantar DCRat

Campanha multifásica com spear-phishing, sideloading de DLL e persistência por serviço Windows visa contribuintes, profissionais tributários e equipes financeiras na Índia durante a temporada de declaração fiscal

ComponenteCadeia de ataque que entrega DCRat (trojan de acesso remoto) por meio de utilitário falso de declaração fiscal, com binários Mixed Reality.exe, nvdaHelperRemote.dll, loader.NET e segundo estágio de captura de tela e exfiltração
VetorSpear-phishing por e-mail se passando pelo Departamento de Imposto de Renda da Índia, com PDF contendo link malicioso defangado govtop[.]one/incometax, página de download de arquivo ZIP e sideloading de DLL com elevação via UAC quando necessário
ImpactoAcesso remoto persistente ao host comprometido, desativação de varredura AMSI, coleta de capturas de tela e exfiltração de dados sensíveis para infraestrutura remota; objetivo avaliado como ganho financeiro ou roubo sistemático de informações
PrioridadeBloquear domínios e IPs de C2 conhecidos, inspecionar criação do serviço MixedSvc, presença de Mixed Reality.exe e DLLs em Windows Media Player, e reforçar triagem de anexos PDF com links externos durante a temporada fiscal indiana
IoCsDomínios defangados govtop[.]one, kkxqbh[.]top; IPs defangados 204.194.48[.]250, 223.26.63[.]40; artefatos lllyd.jpg, C:\Windows\background.jpg, C:\Program Files\Windows Media Player\nvdaHelperRemote.dll
MitigaçãoRestringir execução não assinada de utilitários fiscais, monitorar sideloading de DLL, alertar sobre desativação de AMSI e serviços Windows recém-criados com nomes genéricos como MixedSvc
Resumo técnico

Pesquisadores da Seqrite Labs documentaram uma campanha multifásica batizada de Operation DragonReturn, atribuída com baixa confiança a um cluster de atividade com nexo chinês. O alvo principal são contribuintes indianos, profissionais de tributação e equipes financeiras corporativas, com foco exclusivo no ecossistema fiscal do país durante a temporada anual de declaração de imposto de renda. A operação foi observada pela primeira vez em 18 de maio de 2026 e combina isca de alta fidelidade — citações legais reais, conteúdo bilíngue e rotação ativa de payloads — com entrega de um trojan de acesso remoto voltado ao roubo de dados sensíveis em máquinas comprometidas.

A análise descreve uma operação deliberada, bem financiada e sustentada, e não um ataque oportunista. Os pesquisadores Dixit Panchal e Soumen Burma enfatizam que a precisão do documento isca, o alinhamento temporal com o calendário fiscal indiano e a engenharia social baseada em supostas violações tributárias e multas indicam planejamento prolongado. O objetivo final avaliado é implantar malware para ganho financeiro ou exfiltração sistemática de informações, com infraestrutura que apresenta sobreposições táticas com o grupo Silver Fox, já associado a campanhas de phishing com tema fiscal que distribuíam ValleyRAT.

Fluxo técnico

A cadeia começa com mensagens de phishing que se passam pelo Departamento de Imposto de Renda da Índia. Os e-mails exploram alegações de infrações fiscais e penalidades para gerar urgência e induzir o clique em um link malicioso embutido em anexos PDF, apontando para o domínio defangado govtop[.]one/incometax. A página falsa orienta o download de um arquivo ZIP apresentado como utilitário offline legítimo para envio de declarações, mas o pacote foi projetado para acionar sideloading de uma DLL maliciosa identificada como nvdaHelperRemote.dll, que injeta um payload adicional diretamente na memória do processo.

O estágio inicial verifica privilégios administrativos e, na ausência deles, dispara o prompt de Controle de Conta de Usuário para obter elevação. Antes de prosseguir, o código realiza checagens anti-análise para evitar execução em ambientes de sandbox. Em seguida, contata o servidor hard-coded no IP defangado 204.194.48[.]250 para baixar uma imagem JPG chamada lllyd.jpg, armazenada localmente como C:\Windows\background.jpg. Esse arquivo de imagem funciona como contêiner esteganográfico: dele é extraída uma DLL de aproximadamente 504 KB, gravada em C:\Program Files\Windows Media Player\nvdaHelperRemote.dll.

Após a extração, o malware copia a si mesmo como Mixed Reality.exe e estabelece persistência criando o serviço Windows MixedSvc, configurado para inicialização automática na boot. Esse comportamento confirma o papel de downloader e instalador, combinando ocultação de payload em imagem com persistência de longo prazo. O binário Mixed Reality.exe implanta dois payloads distintos: um loader.NET que executa verificações anti-análise, reforça persistência, desativa a varredura AMSI do Windows, descriptografa e carrega o DCRat; e um segundo módulo com capacidade de capturar telas e enviar dados para o servidor remoto associado ao domínio defangado kkxqbh[.]top.

A atribuição exata do operador permanece incerta. Entretanto, a análise de infraestrutura aponta uso de endereços IP pertencentes à ChinaNet e um painel de gerenciamento web em idioma chinês exposto pelo servidor de comando e controle do DCRat no IP defangado 223.26.63[.]40. Com base em similaridades táticas e de infraestrutura com Silver Fox, a Seqrite avalia que a campanha pode representar atividade alinhada à China com foco em acesso encoberto para coleta de inteligência, roubo de credenciais e exfiltração sistemática de dados.

Superficie afetada

A superfície exposta concentra-se em estáções de trabalho Windows de contribuintes, escritórios de contabilidade e departamentos financeiros na Índia que processam declarações durante o período fiscal. Usuários que confiam em comunicações aparentemente oficiais do fisco e baixam utilitários de terceiros sem validação de assinatura digital tornam-se o elo inicial da comprometidação.

O impacto técnico se limita aos hosts onde o ZIP malicioso é executado com privilégios suficientes para completar sideloading, extração da DLL oculta em imagem e criação do serviço de persistência. Ambientes corporativos com políticas permissivas de execução de binários não assinados e pouca restrição de escrita em C:\Program Files\ e C:\Windows\ ampliam a janela de sucesso da cadeia.

  • Contribuintes individuais e profissionais tributários indianos que recebem PDFs com links para govtop[.]one
  • Estáções Windows com UAC configurado de forma que usuários aprovem elevação sem validar a origem do binário
  • Hosts onde Mixed Reality.exe, nvdaHelperRemote.dll e o serviço MixedSvc permanecem ativos após a infecção inicial
  • Sistemas com AMSI desativado pelo loader.NET, facilitando execução subsequente do DCRat sem varredura em memória
Hunting e telemetria

Equipes de detecção devem correlacionar telemetria de endpoint, rede e identidade para identificar estágios distintos da cadeia: download do ZIP a partir de domínio não oficial, contato HTTP ou HTTPS com 204.194.48[.]250, gravação de lllyd.jpg e subsequente escrita de background.jpg em C:\Windows\, e extração de DLL para o diretório do Windows Media Player.

A criação do serviço MixedSvc associado a Mixed Reality.exe é um indicador de persistência de alto valor. Monitorar tentativas de desativação de AMSI — frequentemente refletidas em modificações de registro ou carregamento anômalo de assemblies.NET — antecede o carregamento do DCRat. Tráfego de saída para kkxqbh[.]top e comunicação com 223.26.63[.]40 sugerem estágio de comando e controle e exfiltração ativa.

No mesmo período, a LevelBlue relatou campanhas distintas que usam instaladores falsos do LINE e e-mails com isca de ajuste salarial para distribuir ValleyRAT a usuários de língua chinesa e japonesa. Embora separadas da Operation DragonReturn, essas atividades reforçam o padrão regional de RATs entregues por instaladores fraudulentos e cadeias de DLL side-loading, incluindo técnicas como PoolParty Variant 7 observadas em loaders customizados como SADBRIDGE.

  • Processos que carregam nvdaHelperRemote.dll fora do contexto legítimo de acessibilidade ou mídia
  • Escrita simultânea de Mixed Reality.exe e criação de serviço Windows com nome MixedSvc e inicialização automática
  • Download de arquivo JPG de IP externo seguido de extração de DLL de tamanho fixo (~504 KB) no sistema de arquivos local
  • Conexões de saída para domínios defangados govtop[.]one, kkxqbh[.]top e IPs defangados 204.194.48[.]250, 223.26.63[.]40
  • Eventos indicando bypass ou desativação de AMSI antes do carregamento de assembly.NET suspeito
Mitigação

A resposta deve priorizar contenção de hosts com indicadores de MixedSvc, isolamento de endpoints que contataram os domínios e IPs citados, e bloqueio preventivo desses indicadores em proxies, firewalls e DNS corporativo. A remediação completa exige remoção do serviço de persistência, exclusão de Mixed Reality.exe e das DLLs implantadas em Windows Media Player, além de varredura de credenciais e sessões ativas que possam ter sido capturadas pelo DCRat.

Medidas preventivas incluem reforço de conscientização durante a temporada fiscal indiana, bloqueio de execução de utilitários não assinados baixados de páginas externas e políticas de Application Control que impeçam sideloading de DLL em diretórios de aplicações legítimas. A rotação de credenciais deve ser considerada quando houver evidência de captura de tela ou exfiltração para kkxqbh[.]top, dado o perfil de roubo de dados sensíveis associado ao trojan.

  • Bloquear domínios defangados govtop[.]one e kkxqbh[.]top e IPs defangados 204.194.48[.]250 e 223.26.63[.]40 em camadas de rede e DNS
  • Investigar e remover o serviço MixedSvc, binário Mixed Reality.exe e DLLs nvdaHelperRemote.dll em locais não padrão
  • Alertar sobre desativação de AMSI e carregamento de loaders.NET suspeitos como precursor do DCRat
  • Treinar usuários fiscais e financeiros para não baixar utilitários de declaração fora dos canais oficiais do Departamento de Imposto de Renda da Índia
  • Aplicar hardening de UAC e restringir escrita em C:\Program Files\ e C:\Windows\ para contas não administrativas

Postar um comentário

0 Comentários