Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Pruebas para detectar la pérdida auditiva que ni siquiera los médicos pueden detectar

RMIT mejora el tratamiento de aguas residuales con un método de eliminación de microplásticos

Seis características que diferencian a los líderes de las soluciones de IA integradas

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Presuntos piratas informáticos chinos y Nexus aprovechan una utilidad de declaración de impuestos india falsa para implementar DcRAT
Identidad

Presuntos piratas informáticos chinos y Nexus aprovechan una utilidad de declaración de impuestos india falsa para implementar DcRAT

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 6, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Se ha observado un grupo de actividad de amenazas presuntamente vinculado a China dirigido a contribuyentes, profesionales de impuestos y equipos de finanzas corporativas de la India, distribuyendo troyanos de acceso remoto diseñados para robar datos confidenciales de hosts comprometidos.

Con el nombre en código ‘Operación DragonReturn’ de Seqrite Labs, esta campaña de varios pasos implica el envío de correos electrónicos de phishing haciéndose pasar por el Departamento de Impuestos sobre la Renta de la India. Esta actividad se observó por primera vez el 18 de mayo de 2026. Según la firma de ciberseguridad, esta actividad coincide con la temporada anual de presentación de impuestos sobre la renta del país.

Los investigadores de seguridad Dixit Panchal y Somen Birma dijeron: «Esto no es oportunismo. La precisión del documento señuelo, el uso de citas legales reales, el contenido bilingüe y la rotación agresiva de la carga útil indican una campaña de amenaza deliberada, sostenida y con buenos recursos centrada únicamente en el ecosistema de contribuyentes indios».

Se considera que el objetivo final de esta campaña es la implementación de malware para obtener ganancias financieras o el robo de datos confidenciales.

La cadena de ataque comienza con un mensaje de phishing que se hace pasar por el Departamento de Impuestos sobre la Renta de la India, utilizando infracciones fiscales y sanciones para crear una falsa sensación de urgencia y engañar a los usuarios para que hagan clic en un enlace malicioso incluido en un archivo PDF adjunto (‘govtop(.)one/ Incometax’).

La página de inicio falsa indica a los usuarios que descarguen un archivo ZIP que contiene lo que parece ser una utilidad fuera de línea común proporcionada por el Departamento para presentar declaraciones de impuestos, pero que en realidad está diseñada para descargar una DLL maliciosa (“nvdaHelperRemote.dll”), que a su vez inyecta otra carga útil en la memoria.

Esta carga útil verifica que se esté ejecutando en modo elevado y, si no se está ejecutando en modo elevado, activa un mensaje de Control de cuentas de usuario (UAC) que solicita al usuario que lo ejecute con permisos elevados. Una vez iniciado, realiza análisis y comprobaciones para evitar ejecutarse en un entorno sandbox y recupera una imagen JPG (‘lllyd.jpg’) de un servidor codificado (‘204.194.48(.)250’) y la guarda como ‘C:\Windows\background.jpg’.

«Este archivo de imagen se utiliza como contenedor para una carga útil secundaria, de la cual se extrae una DLL de 504 KB y se escribe en ‘C:\Program Files\Windows Media Player\nvdaHelperRemote.dll'», explicó Seqrite Labs. «Después de extraer la carga útil, el malware se copia a sí mismo como ‘Mixed Reality.exe’ y establece persistencia mediante la creación de un servicio de Windows llamado MixedSvc que está configurado para iniciarse automáticamente al iniciar el sistema».

«Este comportamiento confirma que la muestra utiliza ocultación de carga útil basada en imágenes y persistencia del servicio de Windows para actuar como un descargador e instalador que mantiene el acceso a largo plazo a los sistemas infectados».

El binario «Mixed Reality.exe» es responsable de implementar dos cargas útiles diferentes. Uno de ellos es un cargador de malware .NET que realiza comprobaciones antianálisis, establece persistencia, desactiva el análisis AMSI de Windows y descifra y carga DCRat en máquinas infectadas. La segunda carga útil tiene la capacidad de tomar una captura de pantalla y filtrar los datos a un servidor remoto (‘kkxqbh(.)top’).

No está claro exactamente quién está detrás de esta actividad, pero el análisis de la infraestructura muestra el uso de direcciones IP que pertenecen a ChinaNet y un panel de administración web en idioma chino publicado por el servidor de comando y control (C2) DCRat (‘223.26.63(.)40’). Además, Seqrite dijo que había identificado una superposición en infraestructura y tácticas con Silver Fox, un grupo chino de cibercrimen previamente implicado en campañas de phishing con temas fiscales que sirven a ValleyRAT.

Basándose en estas similitudes, Seqrite concluyó que esta campaña probablemente fue obra de atacantes alineados con China con el objetivo de recopilar información, robar credenciales y establecer un acceso encubierto para la exfiltración coordinada de datos.

La divulgación se produce después de que Level Blue anunciara que había detectado dos campañas separadas que utilizaban correos electrónicos de phishing que contenían instaladores LINE falsos y señuelos de ajuste salarial para distribuir ValleyRAT dirigido a usuarios de habla china y japonesa.

La campaña de correo electrónico comienza con un correo electrónico malicioso que contiene un enlace URL que, cuando el destinatario accede a él, activa la descarga de un archivo ZIP. Este archivo sirve como base para una cadena de descarga de DLL que finalmente descarga y ejecuta ValleyRAT, un troyano de acceso remoto que permite al operador tomar el control del sistema infectado.

Por el contrario, las cadenas de ataques de instaladores falsos utilizan instaladores falsos de software popular para distribuir malware utilizando técnicas como PoolParty Variant 7, mientras se centran en el contraanálisis y la evasión de detección.

Curiosamente, el uso de PoolParty Variant 7 para inyectar código shell en ‘explorer.exe’ se ha observado previamente en relación con un cargador de malware personalizado llamado SADBRIDGE diseñado para implementar una reimplementación basada en Golang de Quasar RAT conocida como GOSAR. Elastic Security Labs atribuyó este conjunto de intrusiones dirigidas a países de habla china que utilizan instaladores maliciosos para Telegram y Opera a REF3864.

«Aunque no hay pruebas concluyentes, estos puntos en común sugieren que pueden haber sido creados por el mismo actor de amenazas», señaló el investigador de Cybereason, Hajime Takai, en febrero de 2026.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleSe inaugura en Dresde la mayor fábrica de semiconductores del mundo
Next Article Seis características que diferencian a los líderes de las soluciones de IA integradas
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Seis características que diferencian a los líderes de las soluciones de IA integradas

julio 6, 2026

El nuevo ataque TrojPix filtra datos de sistemas aislados a través de la radiación del cable de vídeo

julio 6, 2026

Nuevo QuimaRAT MaaS basado en Java diseñado para ejecutarse en Windows, Linux y macOS

julio 6, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Pruebas para detectar la pérdida auditiva que ni siquiera los médicos pueden detectar

RMIT mejora el tratamiento de aguas residuales con un método de eliminación de microplásticos

Seis características que diferencian a los líderes de las soluciones de IA integradas

Presuntos piratas informáticos chinos y Nexus aprovechan una utilidad de declaración de impuestos india falsa para implementar DcRAT

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.