Дослідники Seqrite Labs розкрили багатоступеневу фішингову кампанію під кодовою назвою Operation DragonReturn, націлену на індійських платників податків, податкових фахівців і корпоративні фінансові підрозділи. Кампанія, вперше зафіксована 18 травня 2026 року, приурочена до сезону подання податкових декларацій в Індії та використовує підроблені листи від імені Департаменту прибуткового податку для доставки трояна віддаленого доступу DCRat. Кінцева мета — викрадення облікових даних, фінансової інформації та систематична ексфільтрація даних із заражених систем.
Ланцюжок зараження: від фішингу до закріплення в системі
Атака починається з цільових фішингових листів, що імітують сповіщення індійської податкової служби про порушення та штрафи. За даними дослідників Dixit Panchal і Soumen Burma із Seqrite Labs, приманки містять реальні юридичні посилання та двомовний контент, що вказує на цілеспрямовану й ресурсоємну операцію. PDF-вкладення містять шкідливе посилання, яке веде на підроблену сторінку, що пропонує завантажити ZIP-архів, замаскований під офіційну утиліту для подання декларацій.
Архів запускає ланцюжок DLL sideloading: легітимний застосунок завантажує шкідливу бібліотеку nvdaHelperRemote.dll, яка інжектує корисне навантаження в пам’ять. Далі шкідливе ПЗ виконує такі дії:
- Перевіряє наявність адміністративних привілеїв і за потреби ініціює запит UAC для підвищення прав
- Виконує перевірки на наявність середовища аналізу та пісочниці
- Завантажує JPG-зображення (
lllyd.jpg) з жорстко заданого сервера й зберігає його якC:\Windows\background.jpg
Стеганографія та закріплення через служби Windows
Завантажене зображення слугує контейнером для прихованого корисного навантаження — з нього витягується DLL розміром 504 КБ, яка записується до каталогу C:\Program Files\Windows Media Player\. Після вилучення шкідливе ПЗ копіює себе як Mixed Reality.exe і створює службу Windows з іменем MixedSvc, налаштовану на автоматичний запуск під час завантаження системи. Цей механізм забезпечує довготривалу присутність на зараженій машині.
Компонент Mixed Reality.exe розгортає два окремі модулі:
- Завантажувач на .NET — виконує перевірки протидії аналізу, вимикає сканування Windows AMSI, розшифровує та завантажує DCRat
- Модуль ексфільтрації — робить знімки екрана та передає дані на віддалений сервер
Індикатори компрометації
За даними дослідження, зафіксовано такі IOC:
- Домени:
govtop[.]one,kkxqbh[.]top - IP-адресы:
204.194.48[.]250(сервер завантаження корисного навантаження),223.26.63[.]40(C2-сервер DCRat)- Файли:
nvdaHelperRemote.dll,lllyd.jpg,Mixed Reality.exe- Служба Windows:
MixedSvc- IP-адресы:
Як повідомляється, на C2-сервері DCRat за адресою 223.26.63[.]40 було виявлено панель керування з китайськомовним інтерфейсом.
Контекст загрози та зв’язок з іншими кампаніями
Паралельно з Operation DragonReturn компанія LevelBlue зафіксувала дві окремі кампанії з розповсюдження ValleyRAT — трояна віддаленого доступу, націленого на китайськомовних і японськомовних користувачів. Одна кампанія використовує підроблені інсталятори месенджера LINE, інша — фішингові листи з приманками про коригування заробітної плати.
Ланцюжок атаки з підробленими інсталяторами, за даними Cybereason, застосовує техніку інжекції PoolParty Variant 7 для впровадження shell-коду в процес explorer.exe. Цю саму техніку раніше спостерігали у зв’язку із завантажувачем SADBRIDGE, призначеним для розгортання GOSAR — реалізації Quasar RAT мовою Go. За даними Elastic Security Labs, пов’язаний набір вторгнень, який атакував китайськомовні регіони через шкідливі інсталятори Telegram та Opera, було приписано групі REF3864.
Важливо підкреслити: атрибуція Operation DragonReturn конкретному актору залишається припущенням. Дослідник Cybereason Hajime Takai у лютому 2026 року зазначав, що збіги між кампаніями можуть вказувати на одного й того самого актора, однак переконливих доказів недостатньо. Зв’язок Operation DragonReturn із раніше відомими групами ґрунтується на інфраструктурних ознаках і не підтверджений незалежними джерелами.
Оцінка впливу
Кампанія становить високий ризик для індійської податкової екосистеми — платників податків, бухгалтерів, податкових консультантів і фінансових підрозділів компаній. Прив’язка до сезону подання декларацій підвищує ймовірність успішної соціальної інженерії: жертви очікують комунікацій від податкових органів і звикли завантажувати утиліти з державних порталів. Використання реальних юридичних цитат і двомовного контенту в приманках свідчить про глибоке розуміння цільової аудиторії.
Компрометація може призвести до витоку податкових даних, фінансової документації, облікових записів і корпоративних секретів. Закріплення через службу Windows забезпечує стійкий доступ, який може залишатися непоміченим тривалий час.
Рекомендації щодо захисту
- Блокування IOC: негайно додайте вказані домени, IP-адреси та URL до правил блокування на міжмережевих екранах і проксі-серверах
- Моніторинг DLL sideloading: налаштуйте виявлення завантаження
nvdaHelperRemote.dllіз нестандартних каталогів, а також створення службиMixedSvc - Перевірка файлової системи: виконайте пошук файлів
Mixed Reality.exe,C:\Windows\background.jpgіnvdaHelperRemote.dllу каталозі Windows Media Player на робочих станціях - Контроль AMSI: відстежуйте спроби вимкнення Windows AMSI — це один з індикаторів активності завантажувача
- Навчання персоналу: попередьте фінансові та бухгалтерські підрозділи про те, що офіційні утиліти податкової служби Індії слід завантажувати виключно з порталу
incometax.gov.in, а не за посиланнями з електронних листів - Обмеження UAC: розгляньте посилення політик UAC для запобігання підвищенню привілеїв на запит шкідливого ПЗ
Організаціям, які працюють з індійською податковою інфраструктурою, слід провести ретроспективний пошук перелічених IOC у журналах мережевого трафіку та подій кінцевих точок за період із 18 травня 2026 року. Виявлення будь-якого з індикаторів потребує негайного реагування на інцидент з ізоляцією уражених хостів і аналізом масштабів компрометації — багатоступенева архітектура кампанії означає, що наявність одного артефакту з високою ймовірністю вказує на повний ланцюжок зараження.