
Se ha observado un grupo de actividad de amenazas presuntamente vinculado a China dirigido a contribuyentes, profesionales de impuestos y equipos de finanzas corporativas de la India, distribuyendo troyanos de acceso remoto diseñados para robar datos confidenciales de hosts comprometidos.
Con el nombre en código ‘Operación DragonReturn’ de Seqrite Labs, esta campaña de varios pasos implica el envío de correos electrónicos de phishing haciéndose pasar por el Departamento de Impuestos sobre la Renta de la India. Esta actividad se observó por primera vez el 18 de mayo de 2026. Según la firma de ciberseguridad, esta actividad coincide con la temporada anual de presentación de impuestos sobre la renta del país.
Los investigadores de seguridad Dixit Panchal y Somen Birma dijeron: «Esto no es oportunismo. La precisión del documento señuelo, el uso de citas legales reales, el contenido bilingüe y la rotación agresiva de la carga útil indican una campaña de amenaza deliberada, sostenida y con buenos recursos centrada únicamente en el ecosistema de contribuyentes indios».
Se considera que el objetivo final de esta campaña es la implementación de malware para obtener ganancias financieras o el robo de datos confidenciales.
La cadena de ataque comienza con un mensaje de phishing que se hace pasar por el Departamento de Impuestos sobre la Renta de la India, utilizando infracciones fiscales y sanciones para crear una falsa sensación de urgencia y engañar a los usuarios para que hagan clic en un enlace malicioso incluido en un archivo PDF adjunto (‘govtop(.)one/ Incometax’).
La página de inicio falsa indica a los usuarios que descarguen un archivo ZIP que contiene lo que parece ser una utilidad fuera de línea común proporcionada por el Departamento para presentar declaraciones de impuestos, pero que en realidad está diseñada para descargar una DLL maliciosa (“nvdaHelperRemote.dll”), que a su vez inyecta otra carga útil en la memoria.
Esta carga útil verifica que se esté ejecutando en modo elevado y, si no se está ejecutando en modo elevado, activa un mensaje de Control de cuentas de usuario (UAC) que solicita al usuario que lo ejecute con permisos elevados. Una vez iniciado, realiza análisis y comprobaciones para evitar ejecutarse en un entorno sandbox y recupera una imagen JPG (‘lllyd.jpg’) de un servidor codificado (‘204.194.48(.)250’) y la guarda como ‘C:\Windows\background.jpg’.
«Este archivo de imagen se utiliza como contenedor para una carga útil secundaria, de la cual se extrae una DLL de 504 KB y se escribe en ‘C:\Program Files\Windows Media Player\nvdaHelperRemote.dll'», explicó Seqrite Labs. «Después de extraer la carga útil, el malware se copia a sí mismo como ‘Mixed Reality.exe’ y establece persistencia mediante la creación de un servicio de Windows llamado MixedSvc que está configurado para iniciarse automáticamente al iniciar el sistema».
«Este comportamiento confirma que la muestra utiliza ocultación de carga útil basada en imágenes y persistencia del servicio de Windows para actuar como un descargador e instalador que mantiene el acceso a largo plazo a los sistemas infectados».

El binario «Mixed Reality.exe» es responsable de implementar dos cargas útiles diferentes. Uno de ellos es un cargador de malware .NET que realiza comprobaciones antianálisis, establece persistencia, desactiva el análisis AMSI de Windows y descifra y carga DCRat en máquinas infectadas. La segunda carga útil tiene la capacidad de tomar una captura de pantalla y filtrar los datos a un servidor remoto (‘kkxqbh(.)top’).
No está claro exactamente quién está detrás de esta actividad, pero el análisis de la infraestructura muestra el uso de direcciones IP que pertenecen a ChinaNet y un panel de administración web en idioma chino publicado por el servidor de comando y control (C2) DCRat (‘223.26.63(.)40’). Además, Seqrite dijo que había identificado una superposición en infraestructura y tácticas con Silver Fox, un grupo chino de cibercrimen previamente implicado en campañas de phishing con temas fiscales que sirven a ValleyRAT.
Basándose en estas similitudes, Seqrite concluyó que esta campaña probablemente fue obra de atacantes alineados con China con el objetivo de recopilar información, robar credenciales y establecer un acceso encubierto para la exfiltración coordinada de datos.
La divulgación se produce después de que Level Blue anunciara que había detectado dos campañas separadas que utilizaban correos electrónicos de phishing que contenían instaladores LINE falsos y señuelos de ajuste salarial para distribuir ValleyRAT dirigido a usuarios de habla china y japonesa.
La campaña de correo electrónico comienza con un correo electrónico malicioso que contiene un enlace URL que, cuando el destinatario accede a él, activa la descarga de un archivo ZIP. Este archivo sirve como base para una cadena de descarga de DLL que finalmente descarga y ejecuta ValleyRAT, un troyano de acceso remoto que permite al operador tomar el control del sistema infectado.

Por el contrario, las cadenas de ataques de instaladores falsos utilizan instaladores falsos de software popular para distribuir malware utilizando técnicas como PoolParty Variant 7, mientras se centran en el contraanálisis y la evasión de detección.
Curiosamente, el uso de PoolParty Variant 7 para inyectar código shell en ‘explorer.exe’ se ha observado previamente en relación con un cargador de malware personalizado llamado SADBRIDGE diseñado para implementar una reimplementación basada en Golang de Quasar RAT conocida como GOSAR. Elastic Security Labs atribuyó este conjunto de intrusiones dirigidas a países de habla china que utilizan instaladores maliciosos para Telegram y Opera a REF3864.
«Aunque no hay pruebas concluyentes, estos puntos en común sugieren que pueden haber sido creados por el mismo actor de amenazas», señaló el investigador de Cybereason, Hajime Takai, en febrero de 2026.
Source link
