Um cluster de atividade suspeito de ligação com a China, batizado de Operation DragonReturn pela Seqrite Labs, tem atacado contribuintes, contadores e equipes financeiras corporativas indianas com um trojan de acesso remoto (RAT) entregue por meio de uma falsa versão do utilitário offline de declaração de imposto de renda da Receita indiana. A campanha, iniciada em 18 de maio de 2026, coincide com o pico do calendário fiscal do país e utiliza engenharia social sofisticada, com documentos-isca bilíngues e citações legais reais para induzir vítimas a executar o payload.
Pesquisadores da Seqrite Labs identificaram uma campanha multiestágio direcionada especificamente ao ecossistema tributário indiano. O ponto de entrada é um e-mail de spear-phishing que se passa pelo Departamento de Imposto de Renda da India (Income Tax Department), invocando supostas violacoes fiscais e penalidades para forcar cliques em urgencia. O anexo PDF traz um link malicioso apontando para o dominio govtop[.]one/incometax, que baixa um arquivo ZIP disfarcado como o utilitario oficial usado por milhoes de contribuintes na declaracao anual.
Ao ser extraido, o pacote executa um classico DLL side-loading via a biblioteca nvdaHelperRemote.dll, que injeta um payload adicional diretamente em memoria. Se o processo nao ja estiver elevado, ele forca uma solicitacao de UAC para obter privilegios administrativos. O malware entao roda checagens anti-sandbox, baixa uma imagem JPG (lllyd.jpg) do servidor 204.194.48[.]250 e a grava em C:\Windows\background.jpg antes de decodificar o payload final: uma variante do DcRAT.
Segundo os pesquisadores Dixit Panchal e Soumen Burma, a operacao nao tem cara de oportunista: os documentos-isca sao bilingues (ingles e hindi), citam artigos reais da legislacao fiscal, e ha rotacao ativa de payload entre as vitimas, algo tipico de operacoes sustentadas com recursos e comando dedicado.
A escolha de DcRAT como carga final nao e trivial. Trata-se de um fork open source do AsyncRAT, altamente customizavel, que oferece plugins para captura de tela, keylogging, exfiltracao de arquivos, controle remoto e persistencia. Por ser modular, ele permite ao operador ajustar o comportamento por vitima, dificultando assinaturas estaticas e regras de EDR baseadas em hash. A DLL nvdaHelperRemote.dll e o classico artificio de reaproveitar nomes de arquivos legitimos (associados ao leitor de tela NVDA) para reduzir suspeitas em telas de execucao rapida.
Nao e oportunista: a precisao do documento-isca, o uso de citacoes juridicas reais, o conteudo bilingue e a rotacao ativa de payload indicam uma operacao de ameaca deliberada, com recursos e continuidade, focada exclusivamente no ecossistema tributario indiano.
Dixit Panchal e Soumen Burma, Seqrite Labs
O uso de UAC para escalonamento e um sinal claro de que os operadores esperam vitimas com contas de usuario padrao (por exemplo, contadores em escritorios pequenos e medios) mas ainda assim querem persistir com privilegios de administrador. A tecnica funciona porque, no contexto de urgencia (multa fiscal, prazo estourando), muitas pessoas clicam em Sim sem ler.
Uma vez comprometida, a maquina de um contador vira ponto de pivo para uma cadeia inteira de fraude fiscal: roubo de credenciais do e-CPFN, sequestro de sessoes autenticadas no portal da Receita, adulteracao de declaracoes e, no limite, o desvio de reembolsos e o uso das informacoes financeiras para ataques de business email compromise (BEC) contra clientes finais.
O DragonReturn se encaixa em um padrao maior que temos visto em 2026: atores de espionagem chineses adotando iscas hiper-locais e temporais. Nos ultimos meses, a Seqrite e a Recorded Future mapearam campanhas identicas em janelas fiscais taiwanesas, filipinas e vietnamitas. A logica e simples: iscas fiscais tem taxa de clique de 4 a 6 vezes maior que iscas genericas de fatura ou logistica, porque tocam em ansiedade financeira imediata.
O caso indiano tambem confirma outra tendencia importante: a convergencia entre atores de estado e crimeware. A escolha de DcRAT, um projeto open source, permite negacao plausivel e complica atribuicao. Do outro lado do tabuleiro, no mesmo dia, a LevelBlue divulgou duas campanhas paralelas usando instaladores falsos do LINE e iscas de reajuste salarial para distribuir ValleyRAT contra usuarios chineses e japoneses, tambem com DLL side-loading e a tecnica PoolParty variant 7 para injecao de codigo. E o mesmo playbook, adaptado por regiao.
Para times de defesa no Brasil, a mensagem indireta e clara: o proximo pico de iscas tributarias por aqui, entre marco e maio, deve trazer o mesmo padrao com adaptacao para IRPF e para o portal do e-CAC. E hora de comecar a caca aos indicadores agora, nao em cima da hora.
Fonte: The Hacker News
CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…
Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…
Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…
Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…
Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…
Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA…