Çin bağlantılı olduğu düşünülen bir tehdit aktörü, Hindistan'daki vergi mükelleflerini, vergi profesyonellerini ve kurumsal finans ekiplerini hedef alarak hassas verileri çalmak üzere tasarlanmış bir uzaktan erişim truva atı (RAT) dağıtıyor. Seqrite Labs tarafından 'Operasyon DragonReturn' olarak adlandırılan çok aşamalı kampanya, Hindistan Gelir Vergisi Departmanı'nı taklit eden kimlik avı e-postaları gönderiyor. İlk kez 18 Mayıs 2026'da tespit edilen saldırı, ülkedeki yıllık vergi beyan dönemiyle örtüşüyor.
Seqrite araştırmacıları, kampanyanın fırsatçı olmadığını, aksine hassas bir şekilde hazırlanmış yem belgeler, gerçek yasal atıflar, iki dilli içerik ve aktif yük döndürme gibi unsurlarla kasıtlı, kaynaklı ve sürekli bir tehdit operasyonu olduğunu belirtiyor. Saldırı zinciri, PDF eklerine gömülü kötü amaçlı bağlantılara tıklanmasıyla başlıyor. Kullanıcılar sahte bir sayfaya yönlendirilerek bir ZIP arşivi indirmeye teşvik ediliyor; bu arşiv, aslında bir DLL yandan yükleme saldırısı gerçekleştiriyor.
İlk aşamada, kötü amaçlı DLL (nvdaHelperRemote.dll) belleğe başka bir yük enjekte ediyor. Bu yük, yönetici ayrıcalıklarıyla çalıştığını doğruladıktan sonra bir JPG dosyası indiriyor. Seqrite Labs, bu görüntü dosyasının ikincil bir yük için konteyner olarak kullanıldığını ve buradan 504 KB boyutunda bir DLL çıkarıldığını açıklıyor. Ardından 'Mixed Reality.exe' adlı kötü amaçlı yazılım, Windows hizmeti oluşturarak kalıcılık sağlıyor ve DcRAT ile ekran görüntüsü alma yeteneklerine sahip ikinci bir yükü devreye sokuyor.
Önemli Gelişmeler
Saldırının arkasındaki aktör tam olarak bilinmese de, altyapı analizi ÇinNet'e ait IP adreslerini ve DcRAT komuta ve kontrol sunucusunda Çince bir web yönetim panelini ortaya çıkarıyor. Seqrite, kampanyanın daha önce ValleyRAT dağıtan Silver Fox grubuyla taktiksel örtüştüğünü belirtiyor. Bu benzerlikler, operasyonun Çin bağlantılı bir tehdit aktörü tarafından istihbarat toplama, kimlik bilgisi hırsızlığı ve sistematik veri sızıntısı amacıyla yürütüldüğünü gösteriyor.