18 мая 2026 года аналитики компании Seqrite Labs зафиксировали кампанию, которую назвали Operation DragonReturn. Исследователи Дикшит Панчал и Соумен Бурма обнаружили серию атак, нацеленных на индийских налогоплательщиков, бухгалтеров и финансовые отделы компаний. Время выбрано не случайно — кампания пришлась на сезон подачи годовой декларации о доходах в Индии, когда миллионы людей и так нервно проверяют почту в ожидании писем от налоговой службы.
Схема начинается с обычного фишингового письма, замаскированного под сообщение от Income Tax Department of India. В письме — угроза штрафа за нарушение налогового законодательства, PDF-вложение и ссылка на сайт govtop[.]one/incometax. Расчёт простой: человек боится штрафа и кликает не задумываясь. Страница предлагает скачать ZIP-архив, который выдаёт себя за официальную офлайн-утилиту для заполнения деклараций — ту самую, что действительно распространяет налоговое ведомство. На деле архив подгружает вредоносную библиотеку nvdaHelperRemote.dll методом сайдлоадинга, и уже она внедряет в память второй, скрытый компонент.
Дальше начинается проверка на вшивость самой системы. Вредонос смотрит, есть ли у пользователя права администратора — если нет, выскакивает запрос UAC. Параллельно идёт проверка на песочницу и виртуальные машины: если малварь чувствует, что её анализируют, она попросту не раскрывает свою активность.
Самая любопытная часть — то, как полезная нагрузка прячется внутри картинки. С жёстко прописанного в коде сервера 204.194.48[.]250 загружается файл lllyd.jpg, который сохраняется на диске как C:\Windows\background.jpg. Внутри этого «обоя рабочего стола» спрятана DLL размером 504 килобайта, которая извлекается и записывается по пути C:\Program Files\Windows Media Player\nvdaHelperRemote.dll — вроде бы безобидное системное расположение, куда мало кто заглядывает.
Для закрепления в системе малварь копирует себя под именем Mixed Reality.exe и создаёт службу Windows с названием MixedSvc, настроенную на автозапуск при каждой загрузке компьютера. В Seqrite Labs по этому поводу отметили: «Такое поведение подтверждает, что образец работает как загрузчик и установщик, используя сокрытие полезной нагрузки в изображении и персистентность через службу Windows для поддержания долгосрочного доступа к заражённой системе».
Именно Mixed Reality.exe разворачивает финальные компоненты атаки. Первый — загрузчик , который проверяет систему на признаки анализа, закрепляется в автозагрузке, отключает встроенное сканирование AMSI и затем расшифровывает и запускает DCRat (он же DcRAT) — троян удалённого доступа. Второй компонент занимается прямым шпионажем: делает скриншоты экрана и отправляет их на сервер kkxqbh[.]top.
По части атрибуции у Seqrite набралось достаточно косвенных улик. IP-адреса инфраструктуры принадлежат ChinaNet, а на сервере управления DCRat по адресу 223.26.63[.]40 обнаружена веб-панель администрирования на китайском языке. Есть и пересечения тактик с группой Silver Fox, ранее замеченной в похожих налоговых фишинговых кампаниях, доставлявших троян ValleyRAT. Панчал и Бурма прямо заявили: «Это не оппортунистическая атака — точность приманки, использование реальных юридических формулировок, двуязычный контент и активная ротация полезной нагрузки указывают на целенаправленную, обеспеченную ресурсами и устойчивую операцию, сфокусированную исключительно на экосистеме индийских налогоплательщиков». Вывод исследователей — за кампанией стоит, вероятно, прокитайская группировка, добивающаяся скрытого доступа ради сбора разведданных, кражи учётных данных и системной эксфильтрации данных.
Параллельно с индийской историей компания LevelBlue описала две другие кампании, направленные уже на китайско- и японоязычных пользователей, но использующие тот же ValleyRAT. В одном случае приманкой служили поддельные установщики мессенджера LINE, в другом — фишинговые письма на тему корректировки зарплаты. Первая схема строится классически: письмо со ссылкой, загрузка ZIP-архива, цепочка сайдлоадинга DLL и в итоге запуск ValleyRAT. Вторая, описанная компанией Cybereason, использует поддельные установщики популярного софта и технику под названием PoolParty Variant 7 — упор здесь сделан на обход детектирования и антианализ.
PoolParty Variant 7 предполагает инъекцию шелл-кода в процесс explorer.exe, и эту же технику ранее фиксировали в связке с кастомным загрузчиком SADBRIDGE, который разворачивает GOSAR — переписанную на Go версию известного трояна Quasar RAT. Отдельно от этого стоит группа активности REF3864, которую атрибутировала Elastic Security Labs: она бьёт по китайскоязычным регионам через фальшивые установщики Telegram и Opera.
Исследователь Cybereason Хадзимэ Такаи в феврале 2026 года прокомментировал сходство всех этих инструментов так: «У нас нет однозначных доказательств, но эти совпадения позволяют предположить, что все они могли быть созданы одной и той же группировкой». Учитывая пересечения по инфраструктуре, техникам сокрытия и общий китайский след во всех перечисленных кампаниях — от индийского налогового фишинга до атак через LINE и поддельные установщики Telegram — версия о едином или как минимум связанном источнике выглядит вполне рабочей.
Схема начинается с обычного фишингового письма, замаскированного под сообщение от Income Tax Department of India. В письме — угроза штрафа за нарушение налогового законодательства, PDF-вложение и ссылка на сайт govtop[.]one/incometax. Расчёт простой: человек боится штрафа и кликает не задумываясь. Страница предлагает скачать ZIP-архив, который выдаёт себя за официальную офлайн-утилиту для заполнения деклараций — ту самую, что действительно распространяет налоговое ведомство. На деле архив подгружает вредоносную библиотеку nvdaHelperRemote.dll методом сайдлоадинга, и уже она внедряет в память второй, скрытый компонент.
Дальше начинается проверка на вшивость самой системы. Вредонос смотрит, есть ли у пользователя права администратора — если нет, выскакивает запрос UAC. Параллельно идёт проверка на песочницу и виртуальные машины: если малварь чувствует, что её анализируют, она попросту не раскрывает свою активность.
Самая любопытная часть — то, как полезная нагрузка прячется внутри картинки. С жёстко прописанного в коде сервера 204.194.48[.]250 загружается файл lllyd.jpg, который сохраняется на диске как C:\Windows\background.jpg. Внутри этого «обоя рабочего стола» спрятана DLL размером 504 килобайта, которая извлекается и записывается по пути C:\Program Files\Windows Media Player\nvdaHelperRemote.dll — вроде бы безобидное системное расположение, куда мало кто заглядывает.
Для закрепления в системе малварь копирует себя под именем Mixed Reality.exe и создаёт службу Windows с названием MixedSvc, настроенную на автозапуск при каждой загрузке компьютера. В Seqrite Labs по этому поводу отметили: «Такое поведение подтверждает, что образец работает как загрузчик и установщик, используя сокрытие полезной нагрузки в изображении и персистентность через службу Windows для поддержания долгосрочного доступа к заражённой системе».
Именно Mixed Reality.exe разворачивает финальные компоненты атаки. Первый — загрузчик , который проверяет систему на признаки анализа, закрепляется в автозагрузке, отключает встроенное сканирование AMSI и затем расшифровывает и запускает DCRat (он же DcRAT) — троян удалённого доступа. Второй компонент занимается прямым шпионажем: делает скриншоты экрана и отправляет их на сервер kkxqbh[.]top.
По части атрибуции у Seqrite набралось достаточно косвенных улик. IP-адреса инфраструктуры принадлежат ChinaNet, а на сервере управления DCRat по адресу 223.26.63[.]40 обнаружена веб-панель администрирования на китайском языке. Есть и пересечения тактик с группой Silver Fox, ранее замеченной в похожих налоговых фишинговых кампаниях, доставлявших троян ValleyRAT. Панчал и Бурма прямо заявили: «Это не оппортунистическая атака — точность приманки, использование реальных юридических формулировок, двуязычный контент и активная ротация полезной нагрузки указывают на целенаправленную, обеспеченную ресурсами и устойчивую операцию, сфокусированную исключительно на экосистеме индийских налогоплательщиков». Вывод исследователей — за кампанией стоит, вероятно, прокитайская группировка, добивающаяся скрытого доступа ради сбора разведданных, кражи учётных данных и системной эксфильтрации данных.
Параллельно с индийской историей компания LevelBlue описала две другие кампании, направленные уже на китайско- и японоязычных пользователей, но использующие тот же ValleyRAT. В одном случае приманкой служили поддельные установщики мессенджера LINE, в другом — фишинговые письма на тему корректировки зарплаты. Первая схема строится классически: письмо со ссылкой, загрузка ZIP-архива, цепочка сайдлоадинга DLL и в итоге запуск ValleyRAT. Вторая, описанная компанией Cybereason, использует поддельные установщики популярного софта и технику под названием PoolParty Variant 7 — упор здесь сделан на обход детектирования и антианализ.
PoolParty Variant 7 предполагает инъекцию шелл-кода в процесс explorer.exe, и эту же технику ранее фиксировали в связке с кастомным загрузчиком SADBRIDGE, который разворачивает GOSAR — переписанную на Go версию известного трояна Quasar RAT. Отдельно от этого стоит группа активности REF3864, которую атрибутировала Elastic Security Labs: она бьёт по китайскоязычным регионам через фальшивые установщики Telegram и Opera.
Исследователь Cybereason Хадзимэ Такаи в феврале 2026 года прокомментировал сходство всех этих инструментов так: «У нас нет однозначных доказательств, но эти совпадения позволяют предположить, что все они могли быть созданы одной и той же группировкой». Учитывая пересечения по инфраструктуре, техникам сокрытия и общий китайский след во всех перечисленных кампаниях — от индийского налогового фишинга до атак через LINE и поддельные установщики Telegram — версия о едином или как минимум связанном источнике выглядит вполне рабочей.