Forschende von Seqrite Labs haben eine mehrstufige Phishing-Kampagne aufgedeckt, die den Codenamen Operation DragonReturn trägt und auf indische Steuerzahler, Steuerfachkräfte und Unternehmensfinanzabteilungen abzielt. Die Kampagne, die erstmals am 18. Mai 2026 beobachtet wurde, ist auf die Saison der Steuererklärungsabgabe in Indien abgestimmt und nutzt gefälschte Schreiben im Namen des Income Tax Department, um den Remote-Access-Trojaner DCRat zu verteilen. Das Endziel sind die Entwendung von Zugangsdaten und Finanzinformationen sowie eine systematische Exfiltration von Daten von infizierten Systemen.
Infektionskette: vom Phishing bis zur Persistenz im System
Der Angriff beginnt mit zielgerichteten Phishing-E-Mails, die Benachrichtigungen der indischen Steuerbehörde über Verstöße und Strafzahlungen nachahmen. Nach Angaben der Forscher Dixit Panchal und Soumen Burma von Seqrite Labs enthalten die Köder reale juristische Verweise und zweisprachige Inhalte, was auf eine zielgerichtete und ressourcenintensive Operation hindeutet. Die PDF-Anhänge enthalten einen bösartigen Link, der auf eine gefälschte Seite führt, die den Download eines ZIP-Archivs anbietet, das als offizielle Utility für die Einreichung von Steuererklärungen getarnt ist.
Das Archiv stößt eine DLL sideloading-Kette an: Eine legitime Anwendung lädt die bösartige Bibliothek nvdaHelperRemote.dll, die die Payload in den Speicher injiziert. Anschließend führt die Malware folgende Aktionen aus:
- Prüft, ob administrative Privilegien vorhanden sind, und initiiert bei Bedarf eine UAC-Abfrage zur Rechteerweiterung
- Führt Prüfungen auf Analyseumgebungen und Sandboxes durch
- Lädt ein JPG-Bild (
lllyd.jpg) von einem hart kodierten Server herunter und speichert es alsC:\Windows\background.jpg
Steganographie und Persistenz über Windows-Dienste
Das heruntergeladene Bild dient als Container für eine versteckte Payload – daraus wird eine 504 KB große DLL extrahiert, die in das Verzeichnis C:\Program Files\Windows Media Player\ geschrieben wird. Nach der Extraktion kopiert sich die Malware selbst als Mixed Reality.exe und erstellt einen Windows-Dienst mit dem Namen MixedSvc, der für den automatischen Start beim Systemboot konfiguriert ist. Dieser Mechanismus stellt eine langfristige Präsenz auf der kompromittierten Maschine sicher.
Die Komponente Mixed Reality.exe entfaltet zwei separate Module:
- .NET-basierter Loader — führt Anti-Analyse-Prüfungen durch, deaktiviert das Scanning von Windows AMSI, entschlüsselt und lädt DCRat nach
- Exfiltrationsmodul — erstellt Screenshots und überträgt Daten an einen entfernten Server
Indikatoren einer Kompromittierung
Laut der Analyse wurden die folgenden IOC beobachtet:
- Domains:
govtop[.]one,kkxqbh[.]top - IP-Adressen:
204.194.48[.]250(Server zum Herunterladen der Payload),223.26.63[.]40(C2-Server von DCRat)- Dateien:
nvdaHelperRemote.dll,lllyd.jpg,Mixed Reality.exe- Windows-Dienst:
MixedSvc- IP-Adressen:
Berichten zufolge wurde auf dem DCRat-C2-Server unter der Adresse 223.26.63[.]40 ein Administrationspanel mit chinesischsprachiger Oberfläche entdeckt.
Bedrohungskontext und Verbindung zu anderen Kampagnen
Parallel zu Operation DragonReturn hat LevelBlue zwei separate Kampagnen zur Verbreitung von ValleyRAT beobachtet – eines Remote-Access-Trojans, der auf chinesisch- und japanischsprachige Nutzer abzielt. Eine Kampagne nutzt gefälschte Installer des Messengers LINE, die andere Phishing-E-Mails mit Ködern zur Gehaltsanpassung.
Die Angriffskette mit den Fake-Installern verwendet nach Angaben von Cybereason die Injection-Technik PoolParty Variant 7, um Shellcode in den Prozess explorer.exe einzuschleusen. Dieselbe Technik wurde zuvor im Zusammenhang mit dem Loader SADBRIDGE beobachtet, der für die Ausbringung von GOSAR – einer in Go implementierten Variante von Quasar RAT – bestimmt ist. Nach Erkenntnissen der Elastic Security Labs wurde der damit verbundene Intrusions-Cluster, der chinesischsprachige Regionen über bösartige Installer von Telegram und Opera angriff, der Gruppe REF3864 zugeschrieben.
Wichtig ist zu betonen: Die Attribution von Operation DragonReturn zu einem konkreten Akteur bleibt spekulativ. Cybereason-Forscher Hajime Takai merkte im Februar 2026 an, dass Überschneidungen zwischen den Kampagnen auf ein und denselben Akteur hindeuten könnten, die Beweislage dafür jedoch nicht ausreicht. Die Verbindung von Operation DragonReturn zu bereits bekannten Gruppen basiert auf infrastrukturellen Merkmalen und ist durch unabhängige Quellen nicht bestätigt.
Bewertung der Auswirkungen
Die Kampagne stellt ein hohes Risiko für das indische Steuerökosystem dar – für Steuerzahler, Buchhalter, Steuerberater und Finanzabteilungen von Unternehmen. Die zeitliche Kopplung an die Saison der Abgabe von Steuererklärungen erhöht die Erfolgswahrscheinlichkeit der Social-Engineering-Taktiken: Opfer erwarten Kommunikationsmaßnahmen der Steuerbehörden und sind es gewohnt, Utilities von staatlichen Portalen herunterzuladen. Die Verwendung realer juristischer Zitate und zweisprachiger Inhalte in den Ködern zeugt von einem tiefen Verständnis der Zielgruppe.
Eine Kompromittierung kann zu einem Abfluss von Steuerdaten, Finanzdokumenten, Benutzerkonten und Unternehmensgeheimnissen führen. Die Persistenz über einen Windows-Dienst ermöglicht einen stabilen Zugriff, der über längere Zeit unentdeckt bleiben kann.
Empfehlungen zum Schutz
- Blockieren der IOC: Fügen Sie die genannten Domains, IP-Adressen und URLs umgehend in die Blockierregeln von Firewalls und Proxy-Servern ein
- Überwachung von DLL sideloading: Richten Sie die Erkennung des Ladens von
nvdaHelperRemote.dllaus unüblichen Verzeichnissen sowie der Erstellung des DienstesMixedSvcein - Dateisystemprüfung: Suchen Sie auf Workstations nach den Dateien
Mixed Reality.exe,C:\Windows\background.jpgundnvdaHelperRemote.dllim Windows-Media-Player-Verzeichnis - AMSI-Kontrolle: Überwachen Sie Versuche, Windows AMSI zu deaktivieren – dies ist einer der Indikatoren für eine Loader-Aktivität
- Schulung des Personals: Weisen Sie Finanz- und Buchhaltungsabteilungen darauf hin, dass offizielle Utilities der indischen Steuerbehörde Indien ausschließlich vom Portal
incometax.gov.inund nicht über Links aus E-Mails heruntergeladen werden sollten - Restriktion von UAC: Ziehen Sie eine Verschärfung der UAC-Richtlinien in Betracht, um Privilegienerweiterungen auf Anforderung von Malware zu verhindern
Organisationen, die mit der indischen Steuerinfrastruktur arbeiten, sollten für den Zeitraum seit dem 18. Mai 2026 eine retrospektive Suche nach den aufgeführten IOC in Protokollen des Netzwerkverkehrs und von Endpoint-Ereignissen durchführen. Der Nachweis eines beliebigen dieser Indikatoren erfordert eine sofortige Incident Response mit Isolierung der betroffenen Hosts und Analyse des Umfangs der Kompromittierung – die mehrstufige Architektur der Kampagne bedeutet, dass das Vorhandensein eines einzelnen Artefakts mit hoher Wahrscheinlichkeit auf die vollständige Infektionskette hinweist.