Presuntos piratas informáticos de China-Nexus utilizan una utilidad de presentación de impuestos india falsa para implementar DcRAT

Se ha observado un grupo de actividades de amenazas sospechosas de un nexo con China dirigido a contribuyentes, profesionales de impuestos y equipos de finanzas corporativas de la India para entregar un troyano de acceso remoto diseñado para robar datos confidenciales de hosts comprometidos.

La campaña de varias etapas, cuyo nombre en código es Operation DragonReturn de Seqrite Labs, implica el envío de correos electrónicos de phishing haciéndose pasar por el Departamento de Impuestos sobre la Renta de la India. Se observó por primera vez el 18 de mayo de 2026. La actividad, según la empresa de ciberseguridad, coincide con la temporada anual de presentación de impuestos sobre la renta en el país.

«No es oportunista: la precisión del documento señuelo, el uso de citas legales reales, el contenido bilingüe y la rotación activa de la carga útil indican una operación de amenaza deliberada, dotada de recursos y sostenida, centrada exclusivamente en el ecosistema de contribuyentes indios», afirman los investigadores de seguridad Dixit Panchal y Soumen Burma. dicho.

Se considera que el objetivo final de la campaña es la implementación de malware para obtener ganancias financieras o el robo de datos confidenciales.

Las cadenas de ataques comienzan con mensajes de phishing que se hacen pasar por el departamento de impuestos sobre la renta de la India, utilizando infracciones fiscales y sanciones para inducir una falsa sensación de urgencia y engañar a los usuarios para que hagan clic en un enlace malicioso («govtop[.]uno/impuesto sobre la renta») incrustado en archivos PDF adjuntos.

Ciberseguridad

La página de inicio falsa, por su parte, indica a los usuarios que descarguen un archivo ZIP que contiene lo que parece ser un utilidad fuera de línea común proporcionado por el departamento para presentar declaraciones de impuestos, pero, en realidad, está diseñado para descargar una DLL maliciosa («nvdaHelperRemote.dll»), que, a su vez, inyecta otra carga útil en la memoria.

Esta carga útil garantiza que se ejecute con privilegios administrativos y, de lo contrario, activa un mensaje de Control de cuentas de usuario (UAC) para que el usuario la ejecute con permisos elevados. Una vez iniciado, realiza comprobaciones para evitar la ejecución en entornos de análisis y de espacio aislado, y luego recupera una imagen JPG («lllyd.jpg») de un servidor codificado («204.194.48[.]250») y lo almacena como «C:\Windows\background.jpg».

«Este archivo de imagen se utiliza como contenedor para una carga útil secundaria, de la cual se extrae una DLL de 504 KB y se escribe en 'C:\Program Files\Windows Media Player\nvdaHelperRemote.dll'», explicó Seqrite Labs. «Después de extraer la carga útil, el malware se copia a sí mismo como 'Mixed Reality.exe' y establece persistencia mediante la creación de un servicio de Windows llamado MixedSvc, configurado para iniciarse automáticamente al iniciar el sistema».

«Este comportamiento confirma que la muestra funciona como un descargador e instalador, utilizando ocultación de carga útil basada en imágenes y persistencia del servicio de Windows para mantener el acceso a largo plazo al sistema infectado».

El binario «Mixed Reality.exe» es responsable de implementar dos cargas útiles diferentes, una de las cuales es un cargador de malware .NET que lleva a cabo comprobaciones antianálisis, establece persistencia, desactiva el escaneo AMSI de Windows y descifra y carga DCRat en la máquina infectada. La segunda carga útil presenta capacidades para tomar capturas de pantalla y filtrar datos a un servidor remoto («kkxqbh[.]arriba»).

No está claro exactamente quién está detrás de la actividad, pero el análisis de la infraestructura indica el uso de direcciones IP pertenecientes a ChinaNet, así como un panel de administración web en idioma chino expuesto por el servidor de comando y control (C2) DCRat («223.26.63[.]40»). Además, Seqrite dijo que identificó superposiciones tácticas y de infraestructura con Silver Fox, un grupo de cibercrimen chino previamente atribuido a campañas de phishing con temas fiscales que entregan ValleyRAT.

En base a estas similitudes, se sospecha que la campaña es obra de un actor de amenazas alineado con China y realizada con el objetivo de establecer un acceso encubierto para la recopilación de inteligencia, el robo de credenciales y la exfiltración sistemática de datos, concluyó Seqrite.

Ciberseguridad

La divulgación se produce como LevelBlue dicho Detectó dos campañas distintas que emplean instaladores falsos para LINE y correos electrónicos de phishing con señuelos de ajuste salarial para distribuir ValleyRAT dirigido a usuarios de habla china y japonesa.

La campaña basada en correo electrónico comienza con un correo electrónico malicioso que contiene un enlace URL que, cuando el destinatario accede a él, activa la descarga de un archivo ZIP. El archivo actúa como base para una cadena de carga lateral de DLL, y la DLL finalmente descarga y ejecuta ValleyRAT, un troyano de acceso remoto que permite a los operadores tomar el control de un sistema infectado.

La cadena de ataque de instaladores falsos, por el contrario, emplea instaladores falsos para software popular para entregar el malware utilizando técnicas como PoolParty Variant 7, mientras que al mismo tiempo se centra en el antianálisis y la evasión de detección, según Cybereason.

Curiosamente, el uso de PoolParty Variant 7 para inyectar código shell en «explorer.exe» se ha observado previamente en conexión con un cargador de malware personalizado denominado PUENTE TRISTEque está diseñado para implementar una reimplementación de Quasar RAT basada en Golang conocida como GOSAR. Elastic Security Labs atribuyó el conjunto de intrusión, dirigido a regiones de habla china con instaladores maliciosos para Telegram y Opera, a REF3864.

«Aunque no tenemos pruebas concluyentes, estos puntos en común sugieren que pueden haber sido creados por el mismo actor de amenazas», dijo el investigador de Cybereason, Hajime Takai. anotado en febrero de 2026.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *