Seqrite Labs tarafından DragonReturn Operasyonu olarak adlandırılan çok aşamalı kampanya, Hindistan Gelir Vergisi Dairesi'ni taklit eden kimlik avı e-postalarıyla başlıyor. 18 Mayıs 2026'da ilk kez tespit edilen saldırı, ülkedeki yıllık gelir vergisi beyan dönemiyle aynı zamana denk geliyor. Araştırmacılar, saldırının fırsatçı olmadığını, aksine özel olarak hazırlanmış belgeler, gerçek yasal atıflar ve iki dilli içerik kullanılarak planlandığını belirtiyor.
Saldırı zinciri, vergi ihlalleri ve cezaları konulu sahte e-postalarla başlıyor. Kullanıcılar, PDF eklerindeki kötü amaçlı bağlantıya tıklamaya yönlendiriliyor. Bu bağlantı, kullanıcıları sahte bir web sitesine götürüyor ve buradan indirilen ZIP dosyası, aslında kötü amaçlı bir DLL dosyasını yüklemek için tasarlanmış. DLL, sistemde yönetici ayrıcalıklarıyla çalışarak analiz ortamlarından kaçıyor ve ardından bir JPG görüntüsünden ikincil bir yük çıkarıyor.
İkincil yük, 'Mixed Reality.exe' adlı bir dosya aracılığıyla iki farklı kötü amaçlı yazılım dağıtıyor. Bunlardan ilki, .NET tabanlı bir yükleyici olup AMSI taramasını devre dışı bırakarak DcRAT'ı sisteme yüklüyor. DcRAT, saldırganlara enfekte sistem üzerinde tam kontrol sağlıyor. İkinci yük ise ekran görüntüleri alarak verileri uzak bir sunucuya sızdırıyor. Altyapı analizi, ÇinNet'e ait IP adresleri ve DcRAT komuta kontrol sunucusunda Çince bir web yönetim paneli kullanıldığını ortaya koyuyor.
Seqrite, bu kampanyanın daha önce ValleyRAT dağıtan Silver Fox grubuyla benzerlikler taşıdığını belirtiyor. Çin bağlantılı bu tehdit aktörünün, istihbarat toplama, kimlik bilgisi hırsızlığı ve veri sızdırma amacıyla gizli erişim sağlamaya çalıştığı değerlendiriliyor. Ayrıca, LevelBlue ve Cybereason gibi diğer güvenlik firmaları da LINE ve Telegram gibi popüler uygulamaların sahte yükleyicileriyle ValleyRAT dağıtan benzer kampanyalar tespit etti.