Investigadores de Seqrite Labs han revelado una campaña de phishing de múltiples etapas, con el nombre en clave Operation DragonReturn, dirigida a contribuyentes indios, profesionales fiscales y departamentos financieros corporativos. La campaña, observada por primera vez el 18 de mayo de 2026, coincide con la temporada de declaración de impuestos en India y utiliza correos electrónicos falsos en nombre del Departamento del Impuesto sobre la Renta para distribuir el troyano de acceso remoto DCRat. El objetivo final es el robo de credenciales, información financiera y la exfiltración sistemática de datos de los sistemas comprometidos.
Cadena de infección: del phishing al establecimiento en el sistema
El ataque comienza con correos de phishing dirigidos que imitan notificaciones del servicio tributario indio sobre infracciones y sanciones. Según los investigadores Dixit Panchal y Soumen Burma de Seqrite Labs, los señuelos contienen referencias legales reales y contenido bilingüe, lo que indica una operación dirigida y con un uso intensivo de recursos. Los archivos PDF adjuntos incluyen un enlace malicioso que conduce a una página falsa que ofrece descargar un archivo ZIP disfrazado de utilidad oficial para la presentación de declaraciones.
El archivo ZIP inicia una cadena de DLL sideloading: una aplicación legítima carga la biblioteca maliciosa nvdaHelperRemote.dll, que inyecta la carga útil en memoria. A continuación, el malware realiza las siguientes acciones:
- Comprueba la presencia de privilegios administrativos y, si es necesario, inicia una solicitud de UAC para elevar privilegios
- Realiza comprobaciones para detectar entornos de análisis y sandbox
- Descarga una imagen JPG (
lllyd.jpg) desde un servidor codificado y la guarda comoC:\Windows\background.jpg
Esteganografía y persistencia mediante servicios de Windows
La imagen descargada actúa como contenedor de una carga útil oculta: de ella se extrae una DLL de 504 KB, que se escribe en el directorio C:\Program Files\Windows Media Player\. Tras la extracción, el malware se copia a sí mismo como Mixed Reality.exe y crea un servicio de Windows con el nombre MixedSvc, configurado para iniciarse automáticamente al arrancar el sistema. Este mecanismo garantiza una presencia a largo plazo en la máquina comprometida.
El componente Mixed Reality.exe despliega dos módulos distintos:
- Cargador en .NET: realiza comprobaciones anti-análisis, deshabilita el escaneo de Windows AMSI, descifra y carga DCRat
- Módulo de exfiltración: realiza capturas de pantalla y envía datos a un servidor remoto
Indicadores de compromiso
Según el estudio, se han registrado los siguientes IOC:
- Dominios:
govtop[.]one,kkxqbh[.]top - Direcciones IP:
204.194.48[.]250(servidor de descarga de la carga útil),223.26.63[.]40(servidor C2 de DCRat)- Archivos:
nvdaHelperRemote.dll,lllyd.jpg,Mixed Reality.exe- Servicio de Windows:
MixedSvc- Direcciones IP:
Según se informa, en el servidor C2 de DCRat en la dirección 223.26.63[.]40 se detectó un panel de control con interfaz en chino.
Contexto de la amenaza y vínculo con otras campañas
En paralelo con Operation DragonReturn, la empresa LevelBlue ha observado dos campañas independientes de distribución de ValleyRAT, un troyano de acceso remoto dirigido a usuarios de habla china y japonesa. Una campaña utiliza instaladores falsos del mensajero LINE y la otra correos de phishing con señuelos relacionados con ajustes salariales.
La cadena de ataque con instaladores falsos, según Cybereason, emplea la técnica de inyección PoolParty Variant 7 para introducir shellcode en el proceso explorer.exe. Esta misma técnica se observó anteriormente en relación con el cargador SADBRIDGE, diseñado para desplegar GOSAR, una implementación de Quasar RAT en lenguaje Go. Según Elastic Security Labs, el conjunto de intrusiones asociado, que atacó regiones de habla china mediante instaladores maliciosos de Telegram y Opera, fue atribuido al grupo REF3864.
Es importante subrayar: la atribución de Operation DragonReturn a un actor concreto sigue siendo especulativa. En febrero de 2026, el investigador de Cybereason Hajime Takai señaló que las coincidencias entre campañas podrían apuntar al mismo actor; sin embargo, las pruebas concluyentes son insuficientes. La relación de Operation DragonReturn con grupos previamente conocidos se basa en indicios de infraestructura y no está confirmada por fuentes independientes.
Evaluación del impacto
La campaña representa un riesgo alto para el ecosistema fiscal indio: contribuyentes, contables, asesores fiscales y departamentos financieros corporativos. Su vinculación a la temporada de presentación de declaraciones incrementa la probabilidad de éxito de la ingeniería social: las víctimas esperan comunicaciones de las autoridades fiscales y están acostumbradas a descargar utilidades desde portales gubernamentales. El uso de citas legales reales y contenido bilingüe en los señuelos evidencia un profundo conocimiento del público objetivo.
La compromisión puede provocar la filtración de datos fiscales, documentación financiera, cuentas de usuario y secretos corporativos. La persistencia a través de un servicio de Windows garantiza un acceso estable que puede permanecer sin ser detectado durante largos periodos.
Recomendaciones de protección
- Bloqueo de IOC: añada de inmediato los dominios, direcciones IP y URL indicados a las reglas de bloqueo en cortafuegos y servidores proxy
- Monitorización de DLL sideloading: configure la detección de carga de
nvdaHelperRemote.dlldesde directorios no estándar, así como de la creación del servicioMixedSvc - Comprobación del sistema de archivos: busque los archivos
Mixed Reality.exe,C:\Windows\background.jpgynvdaHelperRemote.dllen el directorio de Windows Media Player en las estaciones de trabajo - Control de AMSI: supervise los intentos de deshabilitar Windows AMSI; este es uno de los indicadores de actividad del cargador
- Formación del personal: informe a los departamentos financieros y de contabilidad de que las utilidades oficiales de la autoridad fiscal india deben descargarse exclusivamente del portal
incometax.gov.in, y no desde enlaces en correos electrónicos - Restricción de UAC: considere endurecer las políticas de UAC para evitar la elevación de privilegios a petición de software malicioso
Las organizaciones que trabajen con la infraestructura fiscal india deben realizar una búsqueda retrospectiva de los IOC enumerados en los registros de tráfico de red y eventos de endpoints desde el 18 de mayo de 2026. La detección de cualquiera de los indicadores exige una respuesta inmediata al incidente, con aislamiento de los hosts afectados y análisis del alcance de la compromisión: la arquitectura de múltiples etapas de la campaña implica que la presencia de un solo artefacto indica, con alta probabilidad, la existencia de toda la cadena de infección.