Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT
Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT via DLL side-loading. Campanha ativa desde maio de 2026, focada em contadores e financeiro, sinaliza que iscas fiscais viraram vetor preferencial de espionagem asiatica.
Um cluster de atividade suspeito de ligação com a China, batizado de Operation DragonReturn pela Seqrite Labs, tem atacado contribuintes, contadores e equipes financeiras corporativas indianas com um trojan de acesso remoto (RAT) entregue por meio de uma falsa versão do utilitário offline de declaração de imposto de renda da Receita indiana. A campanha, iniciada em 18 de maio de 2026, coincide com o pico do calendário fiscal do país e utiliza engenharia social sofisticada, com documentos-isca bilíngues e citações legais reais para induzir vítimas a executar o payload.
O que aconteceu
Pesquisadores da Seqrite Labs identificaram uma campanha multiestágio direcionada especificamente ao ecossistema tributário indiano. O ponto de entrada é um e-mail de spear-phishing que se passa pelo Departamento de Imposto de Renda da India (Income Tax Department), invocando supostas violacoes fiscais e penalidades para forcar cliques em urgencia. O anexo PDF traz um link malicioso apontando para o dominio govtop[.]one/incometax, que baixa um arquivo ZIP disfarcado como o utilitario oficial usado por milhoes de contribuintes na declaracao anual.
Ao ser extraido, o pacote executa um classico DLL side-loading via a biblioteca nvdaHelperRemote.dll, que injeta um payload adicional diretamente em memoria. Se o processo nao ja estiver elevado, ele forca uma solicitacao de UAC para obter privilegios administrativos. O malware entao roda checagens anti-sandbox, baixa uma imagem JPG (lllyd.jpg) do servidor 204.194.48[.]250 e a grava em C:\Windows\background.jpg antes de decodificar o payload final: uma variante do DcRAT.
Segundo os pesquisadores Dixit Panchal e Soumen Burma, a operacao nao tem cara de oportunista: os documentos-isca sao bilingues (ingles e hindi), citam artigos reais da legislacao fiscal, e ha rotacao ativa de payload entre as vitimas, algo tipico de operacoes sustentadas com recursos e comando dedicado.
Como funciona a cadeia de infeccao
A escolha de DcRAT como carga final nao e trivial. Trata-se de um fork open source do AsyncRAT, altamente customizavel, que oferece plugins para captura de tela, keylogging, exfiltracao de arquivos, controle remoto e persistencia. Por ser modular, ele permite ao operador ajustar o comportamento por vitima, dificultando assinaturas estaticas e regras de EDR baseadas em hash. A DLL nvdaHelperRemote.dll e o classico artificio de reaproveitar nomes de arquivos legitimos (associados ao leitor de tela NVDA) para reduzir suspeitas em telas de execucao rapida.
Nao e oportunista: a precisao do documento-isca, o uso de citacoes juridicas reais, o conteudo bilingue e a rotacao ativa de payload indicam uma operacao de ameaca deliberada, com recursos e continuidade, focada exclusivamente no ecossistema tributario indiano.
Dixit Panchal e Soumen Burma, Seqrite Labs
O uso de UAC para escalonamento e um sinal claro de que os operadores esperam vitimas com contas de usuario padrao (por exemplo, contadores em escritorios pequenos e medios) mas ainda assim querem persistir com privilegios de administrador. A tecnica funciona porque, no contexto de urgencia (multa fiscal, prazo estourando), muitas pessoas clicam em Sim sem ler.
Quem esta na mira
- Contribuintes pessoa fisica com movimentacao financeira relevante, especialmente durante o pico de declaracoes.
- Contadores e escritorios de contabilidade que centralizam credenciais e dados de multiplos clientes.
- Departamentos financeiros de empresas indianas que operam ferramentas offline do fisco em maquinas Windows corporativas.
- Prestadores de servico com acesso a portais governamentais e sistemas de compliance tributario.
Uma vez comprometida, a maquina de um contador vira ponto de pivo para uma cadeia inteira de fraude fiscal: roubo de credenciais do e-CPFN, sequestro de sessoes autenticadas no portal da Receita, adulteracao de declaracoes e, no limite, o desvio de reembolsos e o uso das informacoes financeiras para ataques de business email compromise (BEC) contra clientes finais.
Analise: a temporada fiscal virou fabrica de RATs
O DragonReturn se encaixa em um padrao maior que temos visto em 2026: atores de espionagem chineses adotando iscas hiper-locais e temporais. Nos ultimos meses, a Seqrite e a Recorded Future mapearam campanhas identicas em janelas fiscais taiwanesas, filipinas e vietnamitas. A logica e simples: iscas fiscais tem taxa de clique de 4 a 6 vezes maior que iscas genericas de fatura ou logistica, porque tocam em ansiedade financeira imediata.
O caso indiano tambem confirma outra tendencia importante: a convergencia entre atores de estado e crimeware. A escolha de DcRAT, um projeto open source, permite negacao plausivel e complica atribuicao. Do outro lado do tabuleiro, no mesmo dia, a LevelBlue divulgou duas campanhas paralelas usando instaladores falsos do LINE e iscas de reajuste salarial para distribuir ValleyRAT contra usuarios chineses e japoneses, tambem com DLL side-loading e a tecnica PoolParty variant 7 para injecao de codigo. E o mesmo playbook, adaptado por regiao.
Para times de defesa no Brasil, a mensagem indireta e clara: o proximo pico de iscas tributarias por aqui, entre marco e maio, deve trazer o mesmo padrao com adaptacao para IRPF e para o portal do e-CAC. E hora de comecar a caca aos indicadores agora, nao em cima da hora.
Recomendacoes praticas
- Bloquear no proxy e no filtro DNS corporativo o dominio govtop[.]one e o IP 204.194.48[.]250 como IoCs conhecidos.
- Alertar equipes financeiras e de contabilidade sobre iscas fiscais, especialmente PDFs com links externos e ZIPs com utilitarios de declaracao.
- Enforcar regras SmartScreen, MOTW (Mark-of-the-Web) e execucao restrita de DLLs nao assinadas em maquinas que executam softwares fiscais.
- Criar deteccoes no EDR para DLL side-loading envolvendo nomes legitimos como nvdaHelperRemote.dll fora dos diretorios esperados.
- Alertar em SIEM sobre criacao ou modificacao de C:\Windows\background.jpg por processos que nao sejam do sistema.
- Aumentar a friccao em prompts UAC criticos exigindo login secundario para escaladas administrativas em endpoints de perfil financeiro.
- Retirar do escopo de usuarios finais permissoes de administrador local em maquinas de contadores e analistas fiscais.
Fonte: The Hacker News




