Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Um cluster de atividade suspeito de ligação com a China, batizado de Operation DragonReturn pela Seqrite Labs, tem atacado contribuintes, contadores e equipes financeiras corporativas indianas com um trojan de acesso remoto (RAT) entregue por meio de uma falsa versão do utilitário offline de declaração de imposto de renda da Receita indiana. A campanha, iniciada em 18 de maio de 2026, coincide com o pico do calendário fiscal do país e utiliza engenharia social sofisticada, com documentos-isca bilíngues e citações legais reais para induzir vítimas a executar o payload.

O que aconteceu

Pesquisadores da Seqrite Labs identificaram uma campanha multiestágio direcionada especificamente ao ecossistema tributário indiano. O ponto de entrada é um e-mail de spear-phishing que se passa pelo Departamento de Imposto de Renda da India (Income Tax Department), invocando supostas violacoes fiscais e penalidades para forcar cliques em urgencia. O anexo PDF traz um link malicioso apontando para o dominio govtop[.]one/incometax, que baixa um arquivo ZIP disfarcado como o utilitario oficial usado por milhoes de contribuintes na declaracao anual.

Ao ser extraido, o pacote executa um classico DLL side-loading via a biblioteca nvdaHelperRemote.dll, que injeta um payload adicional diretamente em memoria. Se o processo nao ja estiver elevado, ele forca uma solicitacao de UAC para obter privilegios administrativos. O malware entao roda checagens anti-sandbox, baixa uma imagem JPG (lllyd.jpg) do servidor 204.194.48[.]250 e a grava em C:\Windows\background.jpg antes de decodificar o payload final: uma variante do DcRAT.

Segundo os pesquisadores Dixit Panchal e Soumen Burma, a operacao nao tem cara de oportunista: os documentos-isca sao bilingues (ingles e hindi), citam artigos reais da legislacao fiscal, e ha rotacao ativa de payload entre as vitimas, algo tipico de operacoes sustentadas com recursos e comando dedicado.

Como funciona a cadeia de infeccao

A escolha de DcRAT como carga final nao e trivial. Trata-se de um fork open source do AsyncRAT, altamente customizavel, que oferece plugins para captura de tela, keylogging, exfiltracao de arquivos, controle remoto e persistencia. Por ser modular, ele permite ao operador ajustar o comportamento por vitima, dificultando assinaturas estaticas e regras de EDR baseadas em hash. A DLL nvdaHelperRemote.dll e o classico artificio de reaproveitar nomes de arquivos legitimos (associados ao leitor de tela NVDA) para reduzir suspeitas em telas de execucao rapida.

Nao e oportunista: a precisao do documento-isca, o uso de citacoes juridicas reais, o conteudo bilingue e a rotacao ativa de payload indicam uma operacao de ameaca deliberada, com recursos e continuidade, focada exclusivamente no ecossistema tributario indiano.

Dixit Panchal e Soumen Burma, Seqrite Labs

O uso de UAC para escalonamento e um sinal claro de que os operadores esperam vitimas com contas de usuario padrao (por exemplo, contadores em escritorios pequenos e medios) mas ainda assim querem persistir com privilegios de administrador. A tecnica funciona porque, no contexto de urgencia (multa fiscal, prazo estourando), muitas pessoas clicam em Sim sem ler.

Quem esta na mira

  • Contribuintes pessoa fisica com movimentacao financeira relevante, especialmente durante o pico de declaracoes.
  • Contadores e escritorios de contabilidade que centralizam credenciais e dados de multiplos clientes.
  • Departamentos financeiros de empresas indianas que operam ferramentas offline do fisco em maquinas Windows corporativas.
  • Prestadores de servico com acesso a portais governamentais e sistemas de compliance tributario.

Uma vez comprometida, a maquina de um contador vira ponto de pivo para uma cadeia inteira de fraude fiscal: roubo de credenciais do e-CPFN, sequestro de sessoes autenticadas no portal da Receita, adulteracao de declaracoes e, no limite, o desvio de reembolsos e o uso das informacoes financeiras para ataques de business email compromise (BEC) contra clientes finais.

Analise: a temporada fiscal virou fabrica de RATs

O DragonReturn se encaixa em um padrao maior que temos visto em 2026: atores de espionagem chineses adotando iscas hiper-locais e temporais. Nos ultimos meses, a Seqrite e a Recorded Future mapearam campanhas identicas em janelas fiscais taiwanesas, filipinas e vietnamitas. A logica e simples: iscas fiscais tem taxa de clique de 4 a 6 vezes maior que iscas genericas de fatura ou logistica, porque tocam em ansiedade financeira imediata.

O caso indiano tambem confirma outra tendencia importante: a convergencia entre atores de estado e crimeware. A escolha de DcRAT, um projeto open source, permite negacao plausivel e complica atribuicao. Do outro lado do tabuleiro, no mesmo dia, a LevelBlue divulgou duas campanhas paralelas usando instaladores falsos do LINE e iscas de reajuste salarial para distribuir ValleyRAT contra usuarios chineses e japoneses, tambem com DLL side-loading e a tecnica PoolParty variant 7 para injecao de codigo. E o mesmo playbook, adaptado por regiao.

Para times de defesa no Brasil, a mensagem indireta e clara: o proximo pico de iscas tributarias por aqui, entre marco e maio, deve trazer o mesmo padrao com adaptacao para IRPF e para o portal do e-CAC. E hora de comecar a caca aos indicadores agora, nao em cima da hora.

Recomendacoes praticas

  • Bloquear no proxy e no filtro DNS corporativo o dominio govtop[.]one e o IP 204.194.48[.]250 como IoCs conhecidos.
  • Alertar equipes financeiras e de contabilidade sobre iscas fiscais, especialmente PDFs com links externos e ZIPs com utilitarios de declaracao.
  • Enforcar regras SmartScreen, MOTW (Mark-of-the-Web) e execucao restrita de DLLs nao assinadas em maquinas que executam softwares fiscais.
  • Criar deteccoes no EDR para DLL side-loading envolvendo nomes legitimos como nvdaHelperRemote.dll fora dos diretorios esperados.
  • Alertar em SIEM sobre criacao ou modificacao de C:\Windows\background.jpg por processos que nao sejam do sistema.
  • Aumentar a friccao em prompts UAC criticos exigindo login secundario para escaladas administrativas em endpoints de perfil financeiro.
  • Retirar do escopo de usuarios finais permissoes de administrador local em maquinas de contadores e analistas fiscais.

Fonte: The Hacker News

TheNinja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

2 horas ago

Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…

2 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago

Ataque de ransomware agentico usa Langflow e explora CVE-2025-3248 com LLM narrando cada passo

Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA…

2 dias ago