Vermoedelijke China-Nexus-hackers gebruiken nep-Indiase belastingaangifteprogramma om DcRAT te implementeren

Er is een vermoedelijk China-nexus-bedreigingsactiviteitencluster waargenomen dat zich richt op Indiase belastingbetalers, belastingprofessionals en bedrijfsfinanciënteams om een ​​trojan voor externe toegang te leveren die is ontworpen om gevoelige gegevens van gecompromitteerde hosts te stelen.

De uit meerdere fasen bestaande campagne, met de codenaam Operation DragonReturn van Seqrite Labs, omvat het verzenden van spearphishing-e-mails waarin de Indiase afdeling inkomstenbelasting wordt nagebootst. Het werd voor het eerst waargenomen op 18 mei 2026. De activiteit valt volgens het cyberbeveiligingsbedrijf samen met het jaarlijkse seizoen voor inkomstenbelastingaangifte in het land.

“Het is niet opportunistisch – de precisie van het lokdocument, het gebruik van echte juridische citaten, tweetalige inhoud en actieve rotatie van de lading duiden op een opzettelijke, van middelen voorziene en aanhoudende dreigingsoperatie die zich uitsluitend richt op het ecosysteem van de Indiase belastingbetaler”, aldus veiligheidsonderzoekers Dixit Panchal en Soumen Burma.

Het einddoel van de campagne is de inzet van malware voor financieel gewin of diefstal van gevoelige gegevens.

De aanvalsketens beginnen met phishing-berichten die zich voordoen als de Indiase inkomstenbelastingafdeling, waarbij gebruik wordt gemaakt van belastingovertredingen en boetes om een ​​vals gevoel van urgentie te wekken en gebruikers te misleiden om op een kwaadaardige link (“govtop(.)one/incometax”) te klikken die is ingesloten in pdf-bijlagen.

De valse landingspagina instrueert gebruikers om een ​​ZIP-archief te downloaden met daarin wat lijkt op een algemeen offline hulpprogramma dat door de afdeling wordt aangeboden om belastingaangiften in te dienen, maar in werkelijkheid is ontworpen om een ​​kwaadaardige DLL (“nvdaHelperRemote.dll”) te sideloaden, die op zijn beurt een andere lading in het geheugen injecteert.

Deze payload zorgt ervoor dat het met beheerdersrechten wordt uitgevoerd, en als dat niet het geval is, wordt een prompt voor Gebruikersaccountbeheer (UAC) geactiveerd om de gebruiker ertoe te brengen het met verhoogde machtigingen uit te voeren. Eenmaal gestart, voert het controles uit om uitvoering in analyse- en sandbox-omgevingen te voorkomen, en haalt vervolgens een JPG-afbeelding (“lllyd.jpg”) op van een hardgecodeerde server (“204.194.48(.)250”) en slaat deze op als “C:Windowsbackground.jpg.”

“Dit afbeeldingsbestand wordt gebruikt als container voor een secundaire payload, waaruit een DLL van 504 KB wordt geëxtraheerd en geschreven naar ‘C:Program FilesWindows Media PlayernvdaHelperRemote.dll'”, legt Seqrite Labs uit. “Na het extraheren van de payload kopieert de malware zichzelf als ‘Mixed Reality.exe’ en zorgt voor persistentie door een Windows-service te creëren met de naam MixedSvc, geconfigureerd om automatisch te starten bij het opstarten van het systeem.”

“Dit gedrag bevestigt dat het voorbeeld functioneert als een downloader en installatieprogramma, waarbij gebruik wordt gemaakt van op afbeeldingen gebaseerde payload-verberging en Windows-servicepersistentie om langdurige toegang tot het geïnfecteerde systeem te behouden.”

Het binaire bestand “Mixed Reality.exe” is verantwoordelijk voor het inzetten van twee verschillende payloads, waarvan er één een .NET-malware-lader is die anti-analysecontroles uitvoert, persistentie tot stand brengt, Windows AMSI-scannen uitschakelt en DCRat op de geïnfecteerde machine decodeert en laadt. De tweede payload biedt mogelijkheden om schermafbeeldingen te maken en gegevens naar een externe server te exfiltreren (“kkxqbh(.)top”).

Het is onduidelijk wie er precies achter deze activiteit zit, maar infrastructuuranalyse wijst op het gebruik van IP-adressen van ChinaNet, evenals een Chineestalig webbeheerpaneel dat wordt vrijgegeven door de DCRat command-and-control (C2) server (“223.26.63(.)40”). Bovendien zei Seqrite dat het infrastructuur en tactische overlappingen heeft geïdentificeerd met Silver Fox, een Chinese cybercriminaliteitsgroep die eerder werd toegeschreven aan phishing-campagnes met belastingthema die ValleyRAT opleveren.

Op basis van deze overeenkomsten wordt vermoed dat de campagne het werk is van een aan China verbonden bedreigingsacteur, uitgevoerd met als doel geheime toegang te creëren voor het verzamelen van inlichtingen, diefstal van inloggegevens en systematische gegevensexfiltratie, concludeerde Seqrite.

De onthulling komt op het moment dat LevelBlue zei dat het twee verschillende campagnes heeft gedetecteerd die gebruik maken van nep-installatieprogramma’s voor LINE en phishing-e-mails met lokmiddelen voor salarisaanpassing om ValleyRAT te verspreiden, gericht op Chinees- en Japanssprekende gebruikers.

De e-mailgestuurde campagne begint met een kwaadaardige e-mail die een URL-link bevat die, wanneer deze door de ontvanger wordt geopend, het downloaden van een ZIP-archief activeert. Het archief fungeert als basis voor een side-loading-keten van DLL, waarbij de DLL uiteindelijk ValleyRAT downloadt en uitvoert, een trojan voor externe toegang waarmee operators de controle over een geïnfecteerd systeem kunnen overnemen.

De aanvalsketen van nep-installatieprogramma’s maakt daarentegen gebruik van nep-installatieprogramma’s voor populaire software om de malware te leveren met behulp van technieken als PoolParty Variant 7, terwijl ze zich tegelijkertijd richten op anti-analyse en detectie-ontduiking, volgens Cybereason.

Interessant is dat het gebruik van PoolParty Variant 7 om shellcode in “explorer.exe” te injecteren eerder is waargenomen in verband met een aangepaste malware-lader genaamd SADBRIDGE, die is ontworpen om een ​​op Golang gebaseerde herimplementatie van Quasar RAT, bekend als GOSAR, te implementeren. De inbraakset, die zich richtte op Chineessprekende regio’s met kwaadaardige installatieprogramma’s voor Telegram en Opera, werd door Elastic Security Labs toegeschreven aan REF3864.

“Hoewel we geen sluitend bewijs hebben, suggereren deze overeenkomsten dat ze mogelijk door dezelfde dreigingsactor zijn gecreëerd”, merkte Cybereason-onderzoeker Hajime Takai in februari 2026 op.

Thijs Van der Does