Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT via DLL side-loading. Campanha ativa desde maio de 2026, focada em contadores e financeiro, sinaliza que iscas fiscais viraram vetor preferencial de espionagem asiatica.

Operation DragonReturn - DcRAT via falso utilitario fiscal indiano

Um cluster de atividade suspeito de ligação com a China, batizado de Operation DragonReturn pela Seqrite Labs, tem atacado contribuintes, contadores e equipes financeiras corporativas indianas com um trojan de acesso remoto (RAT) entregue por meio de uma falsa versão do utilitário offline de declaração de imposto de renda da Receita indiana. A campanha, iniciada em 18 de maio de 2026, coincide com o pico do calendário fiscal do país e utiliza engenharia social sofisticada, com documentos-isca bilíngues e citações legais reais para induzir vítimas a executar o payload.

O que aconteceu

Pesquisadores da Seqrite Labs identificaram uma campanha multiestágio direcionada especificamente ao ecossistema tributário indiano. O ponto de entrada é um e-mail de spear-phishing que se passa pelo Departamento de Imposto de Renda da India (Income Tax Department), invocando supostas violacoes fiscais e penalidades para forcar cliques em urgencia. O anexo PDF traz um link malicioso apontando para o dominio govtop[.]one/incometax, que baixa um arquivo ZIP disfarcado como o utilitario oficial usado por milhoes de contribuintes na declaracao anual.

Ao ser extraido, o pacote executa um classico DLL side-loading via a biblioteca nvdaHelperRemote.dll, que injeta um payload adicional diretamente em memoria. Se o processo nao ja estiver elevado, ele forca uma solicitacao de UAC para obter privilegios administrativos. O malware entao roda checagens anti-sandbox, baixa uma imagem JPG (lllyd.jpg) do servidor 204.194.48[.]250 e a grava em C:\Windows\background.jpg antes de decodificar o payload final: uma variante do DcRAT.

Segundo os pesquisadores Dixit Panchal e Soumen Burma, a operacao nao tem cara de oportunista: os documentos-isca sao bilingues (ingles e hindi), citam artigos reais da legislacao fiscal, e ha rotacao ativa de payload entre as vitimas, algo tipico de operacoes sustentadas com recursos e comando dedicado.

Como funciona a cadeia de infeccao

A escolha de DcRAT como carga final nao e trivial. Trata-se de um fork open source do AsyncRAT, altamente customizavel, que oferece plugins para captura de tela, keylogging, exfiltracao de arquivos, controle remoto e persistencia. Por ser modular, ele permite ao operador ajustar o comportamento por vitima, dificultando assinaturas estaticas e regras de EDR baseadas em hash. A DLL nvdaHelperRemote.dll e o classico artificio de reaproveitar nomes de arquivos legitimos (associados ao leitor de tela NVDA) para reduzir suspeitas em telas de execucao rapida.

Nao e oportunista: a precisao do documento-isca, o uso de citacoes juridicas reais, o conteudo bilingue e a rotacao ativa de payload indicam uma operacao de ameaca deliberada, com recursos e continuidade, focada exclusivamente no ecossistema tributario indiano.

Dixit Panchal e Soumen Burma, Seqrite Labs

O uso de UAC para escalonamento e um sinal claro de que os operadores esperam vitimas com contas de usuario padrao (por exemplo, contadores em escritorios pequenos e medios) mas ainda assim querem persistir com privilegios de administrador. A tecnica funciona porque, no contexto de urgencia (multa fiscal, prazo estourando), muitas pessoas clicam em Sim sem ler.

Quem esta na mira

  • Contribuintes pessoa fisica com movimentacao financeira relevante, especialmente durante o pico de declaracoes.
  • Contadores e escritorios de contabilidade que centralizam credenciais e dados de multiplos clientes.
  • Departamentos financeiros de empresas indianas que operam ferramentas offline do fisco em maquinas Windows corporativas.
  • Prestadores de servico com acesso a portais governamentais e sistemas de compliance tributario.

Uma vez comprometida, a maquina de um contador vira ponto de pivo para uma cadeia inteira de fraude fiscal: roubo de credenciais do e-CPFN, sequestro de sessoes autenticadas no portal da Receita, adulteracao de declaracoes e, no limite, o desvio de reembolsos e o uso das informacoes financeiras para ataques de business email compromise (BEC) contra clientes finais.

Analise: a temporada fiscal virou fabrica de RATs

O DragonReturn se encaixa em um padrao maior que temos visto em 2026: atores de espionagem chineses adotando iscas hiper-locais e temporais. Nos ultimos meses, a Seqrite e a Recorded Future mapearam campanhas identicas em janelas fiscais taiwanesas, filipinas e vietnamitas. A logica e simples: iscas fiscais tem taxa de clique de 4 a 6 vezes maior que iscas genericas de fatura ou logistica, porque tocam em ansiedade financeira imediata.

O caso indiano tambem confirma outra tendencia importante: a convergencia entre atores de estado e crimeware. A escolha de DcRAT, um projeto open source, permite negacao plausivel e complica atribuicao. Do outro lado do tabuleiro, no mesmo dia, a LevelBlue divulgou duas campanhas paralelas usando instaladores falsos do LINE e iscas de reajuste salarial para distribuir ValleyRAT contra usuarios chineses e japoneses, tambem com DLL side-loading e a tecnica PoolParty variant 7 para injecao de codigo. E o mesmo playbook, adaptado por regiao.

Para times de defesa no Brasil, a mensagem indireta e clara: o proximo pico de iscas tributarias por aqui, entre marco e maio, deve trazer o mesmo padrao com adaptacao para IRPF e para o portal do e-CAC. E hora de comecar a caca aos indicadores agora, nao em cima da hora.

Recomendacoes praticas

  • Bloquear no proxy e no filtro DNS corporativo o dominio govtop[.]one e o IP 204.194.48[.]250 como IoCs conhecidos.
  • Alertar equipes financeiras e de contabilidade sobre iscas fiscais, especialmente PDFs com links externos e ZIPs com utilitarios de declaracao.
  • Enforcar regras SmartScreen, MOTW (Mark-of-the-Web) e execucao restrita de DLLs nao assinadas em maquinas que executam softwares fiscais.
  • Criar deteccoes no EDR para DLL side-loading envolvendo nomes legitimos como nvdaHelperRemote.dll fora dos diretorios esperados.
  • Alertar em SIEM sobre criacao ou modificacao de C:\Windows\background.jpg por processos que nao sejam do sistema.
  • Aumentar a friccao em prompts UAC criticos exigindo login secundario para escaladas administrativas em endpoints de perfil financeiro.
  • Retirar do escopo de usuarios finais permissoes de administrador local em maquinas de contadores e analistas fiscais.

Fonte: The Hacker News

Social Media Auto Publish Powered By : XYZScripts.com