Hintli vergi mükelleflerini, vergi uzmanlarını ve kurumsal finans ekiplerini, güvenliği ihlal edilmiş ana bilgisayarlardan hassas verileri çalmak üzere tasarlanmış bir uzaktan erişim truva atı sunmak üzere hedef alan, Çin bağlantılı olduğundan şüphelenilen bir tehdit faaliyeti kümesi gözlemlendi.
Seqrite Labs tarafından DragonReturn Operasyonu kod adı verilen çok aşamalı kampanya, Hindistan Gelir Vergisi Dairesi'ni taklit eden hedef odaklı kimlik avı e-postaları göndermeyi içeriyor. İlk kez 18 Mayıs 2026'da gözlemlendi. Siber güvenlik şirketine göre faaliyet, ülkedeki yıllık gelir vergisi beyannamesi verme dönemine denk geliyor.
Güvenlik araştırmacıları Dixit Panchal ve Soumen Burma, "Bu fırsatçı değil; yem belgesinin kesinliği, gerçek yasal alıntıların kullanımı, iki dilli içerik ve aktif yük rotasyonu, yalnızca Hint vergi mükellefi ekosistemine odaklanan kasıtlı, kaynaklara dayalı ve sürekli bir tehdit operasyonuna işaret ediyor" dedi.
Uzmanların Görüşleri
Kampanyanın nihai hedefinin, finansal kazanç veya hassas veri hırsızlığı amacıyla kötü amaçlı yazılımların yayılması olduğu değerlendiriliyor.
Saldırı zincirleri, sahte bir aciliyet duygusu uyandırmak ve kullanıcıları PDF eklerine yerleştirilmiş kötü niyetli bir bağlantıya ("govtop[.]one/incometax") tıklamaları için kandırmak için vergi ihlalleri ve ceza tuzaklarını kullanan, Hindistan'ın gelir vergisi departmanı gibi davranan kimlik avı mesajlarıyla başlıyor.
Sahte açılış sayfası, kullanıcılara, vergi beyannamelerini dosyalamak için bakanlık tarafından sağlanan yaygın bir çevrimdışı yardımcı program gibi görünen, ancak gerçekte kötü amaçlı bir DLL'yi ("nvdaHelperRemote.dll") yan yana yüklemek üzere tasarlanmış olan ve daha sonra belleğe başka bir yük enjekte eden bir ZIP arşivini indirmeleri talimatını veriyor.
Bu veri, yönetici ayrıcalıklarıyla çalışmasını sağlar ve değilse, kullanıcının onu yükseltilmiş izinlerle çalıştırmasını sağlamak için bir Kullanıcı Hesabı Denetimi (UAC) istemini tetikler. Başlatıldığında, analiz ve korumalı alan ortamlarında yürütülmesini önlemek için kontroller gerçekleştirir ve ardından sabit kodlu bir sunucudan ("204.194.48[.]250") bir JPG görüntüsünü ("lllyd.jpg") alır ve onu "C:\Windows\background.jpg" olarak saklar.
Nasıl Önlem Alınmalı?
"Bu görüntü dosyası, 504 KB'lık bir DLL dosyasının çıkartılıp 'C:\Program Files\Windows Media Player'a yazıldığı ikincil bir veri için kapsayıcı olarak kullanılıyor"
vdaHelperRemote.dll,'" Seqrite Labs açıkladı. "Kötü amaçlı yazılım, yükü çıkardıktan sonra kendisini 'Mixed Reality.exe' olarak kopyalıyor ve sistem önyüklemesinde otomatik olarak başlayacak şekilde yapılandırılmış MixedSvc adlı bir Windows hizmeti oluşturarak kalıcılık sağlıyor."
"Bu davranış, örneğin, virüslü sisteme uzun vadeli erişimi sürdürmek için görüntü tabanlı yük gizleme ve Windows hizmet kalıcılığını kullanarak bir indirici ve yükleyici olarak çalıştığını doğruluyor."
Önemli Gelişmeler
"Mixed Reality.exe" ikili dosyası, iki farklı yükün dağıtılmasından sorumludur; bunlardan biri, anti-analiz kontrolleri gerçekleştiren, kalıcılık sağlayan, Windows AMSI taramasını devre dışı bırakan ve etkilenen makineye DCRat'in şifresini çözüp yükleyen bir .NET kötü amaçlı yazılım yükleyicisidir. İkinci veri, ekran görüntüleri alma ve verileri uzaktaki bir sunucuya ("kkxqbh[.]top") çıkarma yeteneklerine sahiptir.
Gelecekte Ne Bekleniyor?
Faaliyetin arkasında tam olarak kimin olduğu belirsiz, ancak altyapı analizi ChinaNet'e ait IP adreslerinin yanı sıra DCRat komuta ve kontrol (C2) sunucusu ("223.26.63[.]40") tarafından açığa çıkarılan Çince web yönetim panelinin kullanıldığını gösteriyor. Buna ek olarak Seqrite, daha önce ValleyRAT sağlayan vergi temalı kimlik avı kampanyalarına atfedilen Çinli bir siber suç grubu olan Silver Fox ile altyapı ve taktiksel örtüşmeler tespit ettiğini söyledi.
Seqrite, bu benzerliklere dayanarak, kampanyanın Çin bağlantılı bir tehdit aktörünün istihbarat toplama, kimlik bilgileri hırsızlığı ve sistematik veri sızdırma için gizli erişim sağlama amacıyla yürüttüğü bir çalışma olduğundan şüphelenildiği sonucuna vardı.
Sonuç ve Değerlendirme
Açıklama, LevelBlue'nun, Çince ve Japonca konuşan kullanıcıları hedef alan ValleyRAT'ı dağıtmak için LINE için sahte yükleyiciler ve maaş ayarlaması içeren kimlik avı e-postaları kullanan iki farklı kampanya tespit ettiğini söylemesiyle geldi.
E-posta odaklı kampanya, alıcı tarafından erişildiğinde ZIP arşivinin indirilmesini tetikleyen bir URL bağlantısı içeren kötü amaçlı bir e-postayla başlıyor. Arşiv, DLL yandan yükleme zinciri için bir temel görevi görüyor; DLL sonuçta operatörlerin virüslü bir sistemin kontrolünü ele geçirmesine olanak tanıyan bir uzaktan erişim truva atı olan ValleyRAT'ı indirip çalıştırıyor.
Detaylar ve Etkileri
Sahte yükleyici saldırı zinciri ise bunun aksine, PoolParty Variant 7 gibi teknikleri kullanarak kötü amaçlı yazılımı dağıtmak için popüler yazılımlar için sahte yükleyiciler kullanır ve aynı anda Cybereason'a göre anti-analiz ve tespitten kaçınmaya odaklanıyor.
Sistem Güvenliği
İlginç bir şekilde, PoolParty Variant 7'nin "explorer.exe" dosyasına kabuk kodu enjekte etmek için kullanıldığı, daha önce GOSAR olarak bilinen Quasar RAT'ın Golang tabanlı yeniden uygulamasını dağıtmak üzere tasarlanan SADBRIDGE adlı özel bir kötü amaçlı yazılım yükleyiciyle bağlantılı olarak gözlemlenmişti. Telegram ve Opera için kötü niyetli yükleyicilerin bulunduğu Çince konuşulan bölgeleri hedef alan izinsiz giriş seti, Elastic Security Labs tarafından REF3864 ile ilişkilendirildi.
Cybereason araştırmacısı Hajime Takai, Şubat 2026'da "Elimizde kesin bir kanıt olmasa da, bu benzerlikler bunların aynı tehdit aktörü tarafından yaratılmış olabileceğini gösteriyor" dedi.