Исследователи Seqrite Labs раскрыли многоступенчатую фишинговую кампанию, получившую кодовое название Operation DragonReturn, нацеленную на индийских налогоплательщиков, налоговых специалистов и корпоративные финансовые подразделения. Кампания, впервые зафиксированная 18 мая 2026 года, приурочена к сезону подачи налоговых деклараций в Индии и использует поддельные письма от имени Департамента подоходного налога для доставки трояна удалённого доступа DCRat. Конечная цель — кража учётных данных, финансовой информации и систематическая эксфильтрация данных с заражённых систем.
Цепочка заражения: от фишинга до закрепления в системе
Атака начинается с целевых фишинговых писем, имитирующих уведомления индийской налоговой службы о нарушениях и штрафах. По данным исследователей Dixit Panchal и Soumen Burma из Seqrite Labs, приманки содержат реальные юридические ссылки и двуязычный контент, что указывает на целенаправленную и ресурсоёмкую операцию. PDF-вложения содержат вредоносную ссылку, ведущую на поддельную страницу, которая предлагает загрузить ZIP-архив, замаскированный под официальную утилиту для подачи деклараций.
Архив запускает цепочку DLL sideloading: легитимное приложение загружает вредоносную библиотеку nvdaHelperRemote.dll, которая инжектирует полезную нагрузку в память. Далее малварь выполняет следующие действия:
- Проверяет наличие административных привилегий и при необходимости инициирует запрос UAC для повышения прав
- Выполняет проверки на наличие среды анализа и песочницы
- Загружает JPG-изображение (
lllyd.jpg) с жёстко заданного сервера и сохраняет его какC:\Windows\background.jpg
Стеганография и закрепление через службы Windows
Загруженное изображение служит контейнером для скрытой полезной нагрузки — из него извлекается DLL размером 504 КБ, которая записывается в каталог C:\Program Files\Windows Media Player\. После извлечения малварь копирует себя как Mixed Reality.exe и создаёт службу Windows с именем MixedSvc, настроенную на автоматический запуск при загрузке системы. Этот механизм обеспечивает долгосрочное присутствие на заражённой машине.
Компонент Mixed Reality.exe разворачивает два отдельных модуля:
- Загрузчик на .NET — выполняет антианалитические проверки, отключает сканирование Windows AMSI, расшифровывает и загружает DCRat
- Модуль эксфильтрации — делает снимки экрана и передаёт данные на удалённый сервер
Индикаторы компрометации
По данным исследования, зафиксированы следующие IOC:
- Домены:
govtop[.]one,kkxqbh[.]top - IP-адреса:
204.194.48[.]250(сервер загрузки полезной нагрузки),223.26.63[.]40(C2-сервер DCRat)- Файлы:
nvdaHelperRemote.dll,lllyd.jpg,Mixed Reality.exe- Служба Windows:
MixedSvc- IP-адреса:
Как сообщается, на C2-сервере DCRat по адресу 223.26.63[.]40 была обнаружена панель управления с китайскоязычным интерфейсом.
Контекст угрозы и связь с другими кампаниями
Параллельно с Operation DragonReturn компания LevelBlue зафиксировала две отдельные кампании по распространению ValleyRAT — трояна удалённого доступа, нацеленного на китайско- и японскоязычных пользователей. Одна кампания использует поддельные установщики мессенджера LINE, другая — фишинговые письма с приманками о корректировке зарплаты.
Цепочка атаки с поддельными установщиками, по данным Cybereason, применяет технику инжекции PoolParty Variant 7 для внедрения шелл-кода в процесс explorer.exe. Эта же техника ранее наблюдалась в связи с загрузчиком SADBRIDGE, предназначенным для развёртывания GOSAR — реализации Quasar RAT на языке Go. По данным Elastic Security Labs, связанный набор вторжений, атаковавший китайскоязычные регионы через вредоносные установщики Telegram и Opera, был атрибутирован группе REF3864.
Важно подчеркнуть: атрибуция Operation DragonReturn конкретному актору остаётся предположительной. Исследователь Cybereason Hajime Takai в феврале 2026 года отмечал, что совпадения между кампаниями могут указывать на одного и того же актора, однако убедительных доказательств недостаточно. Связь Operation DragonReturn с ранее известными группами основана на инфраструктурных признаках и не подтверждена независимыми источниками.
Оценка воздействия
Кампания представляет высокий риск для индийской налоговой экосистемы — налогоплательщиков, бухгалтеров, налоговых консультантов и финансовых подразделений компаний. Привязка к сезону подачи деклараций повышает вероятность успешной социальной инженерии: жертвы ожидают коммуникаций от налоговых органов и привыкли загружать утилиты с государственных порталов. Использование реальных юридических цитат и двуязычного контента в приманках свидетельствует о глубоком понимании целевой аудитории.
Компрометация может привести к утечке налоговых данных, финансовой документации, учётных записей и корпоративных секретов. Закрепление через службу Windows обеспечивает устойчивый доступ, который может оставаться незамеченным длительное время.
Рекомендации по защите
- Блокировка IOC: немедленно добавьте указанные домены, IP-адреса и URL в правила блокировки на межсетевых экранах и прокси-серверах
- Мониторинг DLL sideloading: настройте обнаружение загрузки
nvdaHelperRemote.dllиз нестандартных каталогов, а также создания службыMixedSvc - Проверка файловой системы: выполните поиск файлов
Mixed Reality.exe,C:\Windows\background.jpgиnvdaHelperRemote.dllв каталоге Windows Media Player на рабочих станциях - Контроль AMSI: отслеживайте попытки отключения Windows AMSI — это один из индикаторов активности загрузчика
- Обучение персонала: предупредите финансовые и бухгалтерские подразделения о том, что официальные утилиты налоговой службы Индии следует загружать исключительно с портала
incometax.gov.in, а не по ссылкам из электронных писем - Ограничение UAC: рассмотрите ужесточение политик UAC для предотвращения повышения привилегий по запросу вредоносного ПО
Организациям, работающим с индийской налоговой инфраструктурой, следует провести ретроспективный поиск перечисленных IOC в журналах сетевого трафика и событий конечных точек за период с 18 мая 2026 года. Обнаружение любого из индикаторов требует немедленного реагирования на инцидент с изоляцией затронутых хостов и анализом масштаба компрометации — многоступенчатая архитектура кампании означает, что наличие одного артефакта с высокой вероятностью указывает на полную цепочку заражения.