Hindistan vergi mükellefleri, vergi profesyonelleri ve kurumsal finans ekipleri, Çin bağlantılı olduğu düşünülen bir tehdit grubunun hedefi haline geldi. Seqrite Labs tarafından 'Operation DragonReturn' olarak adlandırılan çok aşamalı kampanya, Hindistan Gelir Vergisi Dairesi'ni taklit eden oltalama e-postaları göndererek başlıyor. 18 Mayıs 2026'da ilk kez tespit edilen bu saldırı, ülkedeki yıllık gelir vergisi beyan dönemine denk geliyor.
Saldırı zinciri, vergi ihlalleri ve cezalarıyla ilgili sahte bir aciliyet duygusu yaratan PDF eklerindeki bağlantılara tıklanmasıyla başlıyor. Kullanıcılar, 'govtop[.]one/incometax' adresindeki sahte bir sayfaya yönlendiriliyor ve buradan bir ZIP arşivi indirmeleri isteniyor. Bu arşiv, aslında kötü amaçlı bir DLL'yi ('nvdaHelperRemote.dll') yüklemek için tasarlanmış bir yardımcı programı taklit ediyor. DLL, belleğe başka bir yük enjekte ederek sisteme sızıyor.
Saldırının nihai hedefi, mali kazanç veya hassas veri hırsızlığı amacıyla DcRAT uzaktan erişim truva atını dağıtmak. Yük, bir JPG görüntüsü ('lllyd.jpg') içinde gizlenmiş 504 KB'lık bir DLL olarak geliyor. Bu DLL, 'Mixed Reality.exe' adıyla kopyalanarak 'MixedSvc' adlı bir Windows hizmeti oluşturuyor ve sistem her başlatıldığında çalışacak şekilde kalıcılık sağlıyor. Ardından, .NET tabanlı bir yükleyici DcRAT'ı şifresini çözüp yüklüyor ve ikinci bir yük ekran görüntüsü alıp verileri sızdırıyor.
Saldırının arkasındaki aktör tam olarak bilinmemekle birlikte, altyapı analizi ChinaNet'e ait IP adreslerini ve DcRAT komuta-kontrol sunucusunda Çince bir web yönetim panelini ortaya çıkardı. Seqrite, Silver Fox adlı Çinli siber suç grubuyla örtüşen taktik ve altyapılar tespit etti. Ayrıca, benzer kampanyaların LINE sahte yükleyicileri ve maaş ayarlaması konulu oltalama e-postalarıyla ValleyRAT dağıttığı bildirildi. Bu ortaklıklar, saldırının Çin bağlantılı bir tehdit aktörü tarafından istihbarat toplama ve kimlik avı amacıyla yürütüldüğünü gösteriyor.