dragonreturn dcrat

DragonReturn colpisce il fisco indiano con phishing e DcRAT multi-stadio

🛡️ Executive Summary

  • DragonReturn sfrutta email di phishing che imitano il Dipartimento delle Imposte indiano durante la stagione fiscale AY2026-27.
  • La catena multi-stadio distribuisce DcRAT tramite ZIP malevolo, servizio Windows persistente, payload nascosto in immagine e tecniche anti-analisi.
  • Le difese richiedono blocco degli IOC, controllo degli allegati fiscali, monitoraggio di sc.exe, MixedSvc e attività anomale su Windows Media Player.

La campagna DragonReturn introduce un nuovo livello di rischio per l’ecosistema fiscale indiano, combinando phishing governativo credibile, malware multi-stadio e tecniche di evasione progettate per distribuire DcRAT su larga scala. L’operazione, attribuita a un cluster Cina-nexus, prende di mira contribuenti, aziende, commercialisti, consulenti fiscali, appaltatori governativi e team finanziari durante la stagione di presentazione delle dichiarazioni per l’anno fiscale AY2026-27. Gli attaccanti impersonano il Dipartimento delle Imposte sul Reddito del Ministero delle Finanze indiano, clonando la nomenclatura dell’utility ufficiale per la compilazione offline e inserendo riferimenti autentici alla normativa tributaria. La precisione del lure, la formattazione bilingue hindi-inglese, la persistenza tramite servizio Windows e l’occultamento del payload in un file immagine indicano una campagna non opportunistica, ma costruita per massimizzare infezioni e raccolta di dati sensibili in una finestra fiscale ad alta esposizione.

DragonReturn sfrutta la stagione fiscale indiana

La scelta del periodo fiscale è uno degli elementi più rilevanti della campagna DragonReturn. Durante la preparazione delle dichiarazioni dei redditi, contribuenti individuali, studi professionali e reparti finance interagiscono più spesso con portali, utility, notifiche e documenti ufficiali. Gli attaccanti sfruttano questa abitudine operativa per aumentare la probabilità che un allegato venga aperto senza verifiche approfondite. La campagna, osservata dal 18 maggio 2026 e ancora attiva al 17 giugno 2026, utilizza un tema perfettamente coerente con il calendario amministrativo indiano. L’obiettivo non è colpire utenti generici, ma intercettare soggetti che gestiscono dati fiscali, informazioni finanziarie, credenziali e documenti aziendali ad alto valore. Questa focalizzazione aumenta l’efficacia del phishing e consente agli operatori di trasformare un’esca burocratica in un vettore di accesso iniziale contro un’intera filiera economica.

Il phishing imita il Dipartimento delle Imposte

Annuncio
image 131
DragonReturn colpisce il fisco indiano con phishing e DcRAT multi-stadio 5

La catena di infezione parte da email che impersonano il Dipartimento delle Imposte sul Reddito del governo indiano. I messaggi fanno leva su urgenza, presunte notifiche fiscali e timore di sanzioni per spingere il destinatario ad aprire il contenuto collegato. L’utente viene reindirizzato a una pagina web costruita per apparire istituzionale, dove viene proposto il download di un archivio ZIP denominato Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip. Il nome replica la convenzione dell’utility offline legittima usata per preparare e inviare dichiarazioni dei redditi prima del caricamento sul portale e-filing. La scelta è strategica: un professionista fiscale o un contribuente abituato a interagire con strumenti ufficiali può considerare il file coerente con la normale attività amministrativa, riducendo le difese cognitive e tecniche nella fase iniziale dell’attacco.

Lure bilingue con riferimenti legali autentici

image 132
DragonReturn colpisce il fisco indiano con phishing e DcRAT multi-stadio 6

Il documento lure mostra un livello di cura superiore rispetto al phishing ordinario. La pagina presenta un memorandum con emblema del Governo indiano, formattazione bilingue hindi-inglese, numero di riferimento fittizio TAX/PEN/2026-142 e citazioni di sezioni reali della legge fiscale, tra cui la Sezione 271(1)(c) sulle penalità per occultamento di reddito e la Sezione 276C sul perseguimento dell’evasione fiscale. La firma fittizia di Raj Kumar Sharma, indicato come Assistant Commissioner of Income Tax, e l’uso di un indirizzo email apparentemente ufficiale rafforzano ulteriormente la credibilità. L’obiettivo è costruire un contesto di autorità amministrativa, urgenza e rischio legale, tre elementi che aumentano la probabilità di esecuzione del payload. La qualità del documento indica conoscenza del dominio fiscale indiano e preparazione specifica del target, non semplice riuso di template generici.

Persistenza tramite MixedSvc e Windows Media Player

Dopo l’apertura del file, l’eseguibile malevolo avvia una sequenza di comandi cmd.exe che utilizza sc.exe, lo strumento Windows Service Control, per creare un servizio denominato MixedSvc. Il servizio viene configurato per eseguire C:\Program Files\Windows Media Player\Mixed Reality.exe e avviarsi automaticamente al boot. Per ridurre i sospetti, gli aggressori assegnano il nome visualizzato Windows Mixed Reality Service e una descrizione plausibile, sfruttando la fiducia associata a componenti Windows legittimi. Il launcher importa e richiama funzioni da nvdaHelperRemote.dll, mentre la logica principale resta minimale per ridurre l’esposizione durante l’analisi. Questa tecnica offre persistenza stabile e mascheramento operativo: un servizio con nome apparentemente legittimo in una directory nota può passare inosservato in ambienti dove il monitoraggio dei servizi Windows non è sufficientemente granulare.

Payload nascosto in immagine e catena multi-stadio

La fase successiva mostra la struttura multi-stadio della campagna. Il payload verifica i privilegi amministrativi tramite CheckTokenMembership() e, se necessario, si rilancia con il verbo runas per attivare il prompt UAC. Impone inoltre l’esecuzione di una sola istanza tramite l’evento globale Global\ShitSetupOn26126k. Dopo aver preparato la directory di lavoro in C:\Program Files\Windows Media Player, il malware scarica il file lllyd.jpg dall’indirizzo 204.194.48.250 e lo salva come C:\Windows\background.jpg. L’immagine funge da contenitore per un payload secondario: da essa viene estratta una DLL di circa 504 KB, scritta come nvdaHelperRemote.dll. Il malware copia poi se stesso come Mixed Reality.exe, crea il servizio persistente e termina il processo corrente. L’uso di un file JPG come carrier riduce la visibilità del payload e complica i controlli basati su estensione o firma superficiale.

Anti-analisi e rotazione dei payload

DragonReturn integra tecniche anti-analisi pensate per resistere a sandbox e debugging. Il malware esegue controlli temporali con GetTickCount64(), usa brevi intervalli di sleep e cerca anomalie prodotte da ambienti accelerati, hook API o interferenze di debugger. Le stringhe vengono offuscate e deoffuscate tramite operazioni XOR con chiavi 0x18 e 0x02, permettendo la risoluzione dinamica di API Windows necessarie per memoria, processi e manipolazione del payload. Il livello di evasione viene rafforzato dalla rotazione attiva dei payload, che secondo l’analisi mantiene il rilevamento del payload finale a 0/66 su VirusTotal. Questo dato non prova invulnerabilità, ma indica una manutenzione attiva dell’infrastruttura malevola. Gli operatori sembrano aggiornare rapidamente artefatti e componenti per ridurre la probabilità di rilevamento statico e mantenere la campagna efficace nel tempo.

Attribuzione Cina-nexus e finalità di spionaggio

L’attribuzione a un cluster Cina-nexus si basa su somiglianze tecniche e operative con gruppi noti per attività di spionaggio contro Paesi asiatici tramite malware di tipo RAT. La campagna mostra tratti coerenti con operazioni in stile APT: targeting preciso, lure governativi credibili, uso di riferimenti locali autentici, evasione multi-livello, payload ruotati e finalità di raccolta dati. DcRAT consente controllo remoto, esfiltrazione di informazioni, accesso persistente e possibile distribuzione di ulteriori moduli, rendendolo adatto sia a furto finanziario sia a intelligence su contribuenti, aziende e professionisti. La scelta dell’infrastruttura fiscale indiana come bersaglio amplifica il valore dei dati raggiungibili: dichiarazioni, PAN, credenziali, documenti contabili, dettagli aziendali e informazioni personali possono essere sfruttati per frodi, profiling, spionaggio economico o ulteriori campagne mirate.

Mitigazioni per enti, aziende e professionisti fiscali

La difesa contro DragonReturn richiede controlli specifici sul ciclo fiscale e sul comportamento endpoint. Le organizzazioni devono verificare ogni comunicazione fiscale raggiungendo manualmente i portali ufficiali, bloccare download da domini non autorizzati e istruire utenti e studi professionali a diffidare di ZIP ricevuti via email, anche quando il nome replica utility governative. Sul piano tecnico, vanno monitorati comandi sc.exe che creano servizi inattesi, servizi denominati MixedSvc, file Mixed Reality.exe in percorsi anomali, DLL nvdaHelperRemote.dll, eventi globali sospetti, download da 204.194.48.250 e file immagine usati come contenitori. Il controllo delle directory Windows Media Player, la correlazione tra processi cmd.exe, creazione servizi e scrittura di DLL, e il blocco di escalation runas non giustificate possono aumentare la probabilità di rilevamento. La campagna dimostra che la stagione fiscale è ormai una superficie d’attacco strategica e richiede difese coordinate tra utenti, imprese, professionisti e pubbliche amministrazioni.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto