
Campanha multifásica com spear-phishing, sideloading de DLL e persistência por serviço Windows visa contribuintes, profissionais tributários e equipes financeiras na Índia durante a temporada de declaração fiscal
| Componente | Cadeia de ataque que entrega DCRat (trojan de acesso remoto) por meio de utilitário falso de declaração fiscal, com binários Mixed Reality.exe, nvdaHelperRemote.dll, loader.NET e segundo estágio de captura de tela e exfiltração |
| Vetor | Spear-phishing por e-mail se passando pelo Departamento de Imposto de Renda da Índia, com PDF contendo link malicioso defangado govtop[.]one/incometax, página de download de arquivo ZIP e sideloading de DLL com elevação via UAC quando necessário |
| Impacto | Acesso remoto persistente ao host comprometido, desativação de varredura AMSI, coleta de capturas de tela e exfiltração de dados sensíveis para infraestrutura remota; objetivo avaliado como ganho financeiro ou roubo sistemático de informações |
| Prioridade | Bloquear domínios e IPs de C2 conhecidos, inspecionar criação do serviço MixedSvc, presença de Mixed Reality.exe e DLLs em Windows Media Player, e reforçar triagem de anexos PDF com links externos durante a temporada fiscal indiana |
| IoCs | Domínios defangados govtop[.]one, kkxqbh[.]top; IPs defangados 204.194.48[.]250, 223.26.63[.]40; artefatos lllyd.jpg, C:\Windows\background.jpg, C:\Program Files\Windows Media Player\nvdaHelperRemote.dll |
| Mitigação | Restringir execução não assinada de utilitários fiscais, monitorar sideloading de DLL, alertar sobre desativação de AMSI e serviços Windows recém-criados com nomes genéricos como MixedSvc |
Pesquisadores da Seqrite Labs documentaram uma campanha multifásica batizada de Operation DragonReturn, atribuída com baixa confiança a um cluster de atividade com nexo chinês. O alvo principal são contribuintes indianos, profissionais de tributação e equipes financeiras corporativas, com foco exclusivo no ecossistema fiscal do país durante a temporada anual de declaração de imposto de renda. A operação foi observada pela primeira vez em 18 de maio de 2026 e combina isca de alta fidelidade — citações legais reais, conteúdo bilíngue e rotação ativa de payloads — com entrega de um trojan de acesso remoto voltado ao roubo de dados sensíveis em máquinas comprometidas.
A análise descreve uma operação deliberada, bem financiada e sustentada, e não um ataque oportunista. Os pesquisadores Dixit Panchal e Soumen Burma enfatizam que a precisão do documento isca, o alinhamento temporal com o calendário fiscal indiano e a engenharia social baseada em supostas violações tributárias e multas indicam planejamento prolongado. O objetivo final avaliado é implantar malware para ganho financeiro ou exfiltração sistemática de informações, com infraestrutura que apresenta sobreposições táticas com o grupo Silver Fox, já associado a campanhas de phishing com tema fiscal que distribuíam ValleyRAT.
A cadeia começa com mensagens de phishing que se passam pelo Departamento de Imposto de Renda da Índia. Os e-mails exploram alegações de infrações fiscais e penalidades para gerar urgência e induzir o clique em um link malicioso embutido em anexos PDF, apontando para o domínio defangado govtop[.]one/incometax. A página falsa orienta o download de um arquivo ZIP apresentado como utilitário offline legítimo para envio de declarações, mas o pacote foi projetado para acionar sideloading de uma DLL maliciosa identificada como nvdaHelperRemote.dll, que injeta um payload adicional diretamente na memória do processo.
O estágio inicial verifica privilégios administrativos e, na ausência deles, dispara o prompt de Controle de Conta de Usuário para obter elevação. Antes de prosseguir, o código realiza checagens anti-análise para evitar execução em ambientes de sandbox. Em seguida, contata o servidor hard-coded no IP defangado 204.194.48[.]250 para baixar uma imagem JPG chamada lllyd.jpg, armazenada localmente como C:\Windows\background.jpg. Esse arquivo de imagem funciona como contêiner esteganográfico: dele é extraída uma DLL de aproximadamente 504 KB, gravada em C:\Program Files\Windows Media Player\nvdaHelperRemote.dll.
Após a extração, o malware copia a si mesmo como Mixed Reality.exe e estabelece persistência criando o serviço Windows MixedSvc, configurado para inicialização automática na boot. Esse comportamento confirma o papel de downloader e instalador, combinando ocultação de payload em imagem com persistência de longo prazo. O binário Mixed Reality.exe implanta dois payloads distintos: um loader.NET que executa verificações anti-análise, reforça persistência, desativa a varredura AMSI do Windows, descriptografa e carrega o DCRat; e um segundo módulo com capacidade de capturar telas e enviar dados para o servidor remoto associado ao domínio defangado kkxqbh[.]top.
A atribuição exata do operador permanece incerta. Entretanto, a análise de infraestrutura aponta uso de endereços IP pertencentes à ChinaNet e um painel de gerenciamento web em idioma chinês exposto pelo servidor de comando e controle do DCRat no IP defangado 223.26.63[.]40. Com base em similaridades táticas e de infraestrutura com Silver Fox, a Seqrite avalia que a campanha pode representar atividade alinhada à China com foco em acesso encoberto para coleta de inteligência, roubo de credenciais e exfiltração sistemática de dados.
A superfície exposta concentra-se em estáções de trabalho Windows de contribuintes, escritórios de contabilidade e departamentos financeiros na Índia que processam declarações durante o período fiscal. Usuários que confiam em comunicações aparentemente oficiais do fisco e baixam utilitários de terceiros sem validação de assinatura digital tornam-se o elo inicial da comprometidação.
O impacto técnico se limita aos hosts onde o ZIP malicioso é executado com privilégios suficientes para completar sideloading, extração da DLL oculta em imagem e criação do serviço de persistência. Ambientes corporativos com políticas permissivas de execução de binários não assinados e pouca restrição de escrita em C:\Program Files\ e C:\Windows\ ampliam a janela de sucesso da cadeia.
- Contribuintes individuais e profissionais tributários indianos que recebem PDFs com links para
govtop[.]one - Estáções Windows com UAC configurado de forma que usuários aprovem elevação sem validar a origem do binário
- Hosts onde
Mixed Reality.exe,nvdaHelperRemote.dlle o serviçoMixedSvcpermanecem ativos após a infecção inicial - Sistemas com AMSI desativado pelo loader.NET, facilitando execução subsequente do DCRat sem varredura em memória
Equipes de detecção devem correlacionar telemetria de endpoint, rede e identidade para identificar estágios distintos da cadeia: download do ZIP a partir de domínio não oficial, contato HTTP ou HTTPS com 204.194.48[.]250, gravação de lllyd.jpg e subsequente escrita de background.jpg em C:\Windows\, e extração de DLL para o diretório do Windows Media Player.
A criação do serviço MixedSvc associado a Mixed Reality.exe é um indicador de persistência de alto valor. Monitorar tentativas de desativação de AMSI — frequentemente refletidas em modificações de registro ou carregamento anômalo de assemblies.NET — antecede o carregamento do DCRat. Tráfego de saída para kkxqbh[.]top e comunicação com 223.26.63[.]40 sugerem estágio de comando e controle e exfiltração ativa.
No mesmo período, a LevelBlue relatou campanhas distintas que usam instaladores falsos do LINE e e-mails com isca de ajuste salarial para distribuir ValleyRAT a usuários de língua chinesa e japonesa. Embora separadas da Operation DragonReturn, essas atividades reforçam o padrão regional de RATs entregues por instaladores fraudulentos e cadeias de DLL side-loading, incluindo técnicas como PoolParty Variant 7 observadas em loaders customizados como SADBRIDGE.
- Processos que carregam
nvdaHelperRemote.dllfora do contexto legítimo de acessibilidade ou mídia - Escrita simultânea de
Mixed Reality.exee criação de serviço Windows com nomeMixedSvce inicialização automática - Download de arquivo JPG de IP externo seguido de extração de DLL de tamanho fixo (~504 KB) no sistema de arquivos local
- Conexões de saída para domínios defangados
govtop[.]one,kkxqbh[.]tope IPs defangados204.194.48[.]250,223.26.63[.]40 - Eventos indicando bypass ou desativação de AMSI antes do carregamento de assembly.NET suspeito
A resposta deve priorizar contenção de hosts com indicadores de MixedSvc, isolamento de endpoints que contataram os domínios e IPs citados, e bloqueio preventivo desses indicadores em proxies, firewalls e DNS corporativo. A remediação completa exige remoção do serviço de persistência, exclusão de Mixed Reality.exe e das DLLs implantadas em Windows Media Player, além de varredura de credenciais e sessões ativas que possam ter sido capturadas pelo DCRat.
Medidas preventivas incluem reforço de conscientização durante a temporada fiscal indiana, bloqueio de execução de utilitários não assinados baixados de páginas externas e políticas de Application Control que impeçam sideloading de DLL em diretórios de aplicações legítimas. A rotação de credenciais deve ser considerada quando houver evidência de captura de tela ou exfiltração para kkxqbh[.]top, dado o perfil de roubo de dados sensíveis associado ao trojan.
- Bloquear domínios defangados
govtop[.]oneekkxqbh[.]tope IPs defangados204.194.48[.]250e223.26.63[.]40em camadas de rede e DNS - Investigar e remover o serviço
MixedSvc, binárioMixed Reality.exee DLLsnvdaHelperRemote.dllem locais não padrão - Alertar sobre desativação de AMSI e carregamento de loaders.NET suspeitos como precursor do DCRat
- Treinar usuários fiscais e financeiros para não baixar utilitários de declaração fora dos canais oficiais do Departamento de Imposto de Renda da Índia
- Aplicar hardening de UAC e restringir escrita em
C:\Program Files\eC:\Windows\para contas não administrativas
0 Comentários