Hackers suspeitos ligados à China usam falso aplicativo de imposto indiano para espalhar o DcRAT
6 de Julho de 2026

Um cluster de atividade maliciosa suspeito de ter ligação com a China foi observado mirando contribuintes indianos, profissionais de impostos e equipes financeiras corporativas para distribuir um trojan de acesso remoto projetado para roubar dados sensíveis de sistemas comprometidos.

A campanha, em várias etapas, recebeu o codinome Operation DragonReturn pela Seqrite Labs e envolve o envio de e-mails de spear phishing que se passam pelo Departamento de Imposto de Renda da Índia.

A primeira observação ocorreu em 18 de maio de 2026.

Segundo a empresa de cibersegurança, a atividade coincide com o período anual de declaração de imposto de renda no país.

“Não se trata de uma ação oportunista.

A precisão do documento isca, o uso de citações legais reais, o conteúdo bilíngue e a rotação ativa do payload indicam uma operação maliciosa deliberada, bem financiada e sustentada, focada exclusivamente no ecossistema de contribuintes indianos”, afirmaram os pesquisadores de segurança Dixit Panchal e Soumen Burma.

O objetivo final da campanha, segundo a avaliação, é a distribuição de malware para ganho financeiro ou roubo de dados sensíveis.

As cadeias de ataque começam com mensagens de phishing que simulam comunicações do departamento fiscal indiano, usando alertas de infrações tributárias e multas para criar uma falsa sensação de urgência e induzir as vítimas a clicar em um link malicioso, “govtop[.]one/incometax”, incorporado em anexos PDF.

A página de destino falsa, por sua vez, orienta o usuário a baixar um arquivo ZIP com o que parece ser uma ferramenta offline comum fornecida pelo departamento para envio de declarações.

Na prática, porém, o arquivo foi criado para carregar lateralmente uma DLL maliciosa, “nvdaHelperRemote.dll”, que, por sua vez, injeta outro payload na memória.

Esse payload garante execução com privilégios administrativos e, se isso não ocorrer, aciona um prompt de Controle de Conta de Usuário, o UAC, para convencer a vítima a executá-lo com permissões elevadas.

Depois de iniciado, ele realiza verificações para evitar a execução em ambientes de análise e sandbox e, em seguida, recupera uma imagem JPG, “lllyd.jpg”, de um servidor embutido no código, “204.194.48[.]250”, e a salva como “C:\Windows\background.jpg”.

“Esse arquivo de imagem é usado como contêiner para um payload secundário, do qual uma DLL de 504 KB é extraída e gravada em ‘C:\Program Files\Windows Media Player\nvdaHelperRemote.dll’”, explicou a Seqrite Labs.

“Após extrair o payload, o malware se copia como ‘Mixed Reality.exe’ e estabelece persistência criando um serviço do Windows chamado MixedSvc, configurado para iniciar automaticamente na inicialização do sistema.” “Esse comportamento confirma que a amostra funciona como downloader e instalador, usando ocultação de payload baseada em imagem e persistência por serviço do Windows para manter acesso de longo prazo ao sistema infectado.”

O binário “Mixed Reality.exe” é responsável por implantar dois payloads diferentes.

Um deles é um loader de malware em .NET que executa verificações anti-análise, estabelece persistência, desativa a varredura do Windows AMSI e descriptografa e carrega o DCRat na máquina infectada.

O segundo payload tem capacidade para capturar telas e exfiltrar dados para um servidor remoto, “kkxqbh[.]top”.

Ainda não está claro quem está por trás da atividade, mas a análise da infraestrutura indica o uso de endereços IP pertencentes à ChinaNet, além de um painel de administração web em chinês exposto pelo servidor de comando e controle, ou C2, do DCRat, “223.26.63[.]40”.

A Seqrite também afirmou ter identificado sobreposições de infraestrutura e táticas com o Silver Fox, um grupo de cibercrime chinês já atribuído a campanhas de phishing com temas tributários que distribuem ValleyRAT.

Com base nessas semelhanças, a suspeita é de que a campanha seja obra de um threat actor alinhado à China, conduzido com o objetivo de estabelecer acesso furtivo para coleta de inteligência, roubo de credenciais e exfiltração sistemática de dados, concluiu a Seqrite.

A divulgação ocorre no momento em que a LevelBlue informou ter detectado duas campanhas distintas que usam instaladores falsos do LINE e e-mails de phishing com iscas de ajuste salarial para distribuir ValleyRAT contra usuários que falam chinês e japonês.

A campanha baseada em e-mails começa com uma mensagem maliciosa contendo um link para uma URL que, quando acessada pelo destinatário, dispara o download de um arquivo ZIP.

Esse arquivo serve de base para uma cadeia de carregamento lateral de DLL, com a DLL baixando e executando o ValleyRAT, um trojan de acesso remoto que permite aos operadores assumir o controle de um sistema infectado.

Já a cadeia de ataque com instalador falso usa instaladores adulterados de softwares populares para distribuir o malware por meio de técnicas como a Variante 7 do PoolParty, enquanto foca simultaneamente em anti-análise e evasão de detecção, segundo a Cybereason.

Curiosamente, o uso da Variante 7 do PoolParty para injetar shellcode em “explorer.exe” já havia sido observado anteriormente em conexão com um loader de malware personalizado chamado SADBRIDGE, projetado para implantar uma reimplementação do Quasar RAT em Golang conhecida como GOSAR.

Esse conjunto de intrusão, que visava regiões de língua chinesa com instaladores maliciosos do Telegram e do Opera, foi atribuído pela Elastic Security Labs ao REF3864.

“Embora não tenhamos provas conclusivas, essas semelhanças sugerem que eles podem ter sido criados pelo mesmo threat actor”, observou o pesquisador da Cybereason Hajime Takai em fevereiro de 2026.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...