Бактерия-призрак
Image

Эта бактерия убьёт всё живое

Её ещё не существует. Нобелевские лауреаты уже в панике
Антипов объясняет — почему.

Герб, подпись комиссара, ссылки на законы — всё поддельное. Operation DragonReturn маскирует шпионаж под письмо налоговой

leer en español

1935
Operation DragonReturn Seqrite Silver Fox Индия Китай фишинг налоги
Герб, подпись комиссара, ссылки на законы — всё поддельное. Operation DragonReturn маскирует шпионаж под письмо налоговой
Operation DragonReturn Seqrite Silver Fox Индия Китай фишинг налоги

Одна сезонная обязанность дала злоумышленникам редкий шанс подойти ближе.

image

Сезон налоговой отчётности в Индии стал удобной точкой входа для кибершпионов: специалисты Seqrite выявили активную кампанию Operation DragonReturn, в которой злоумышленники выдают вредоносные файлы за официальную утилиту налогового ведомства.

Атака нацелена на индийских налогоплательщиков, бухгалтерские и финансовые отделы компаний, налоговых консультантов и подрядчиков госструктур. Кампанию впервые заметили 18 мая 2026 года, а к 17 июня вредоносная активность всё ещё продолжалась. Последний вариант файла на момент анализа не определялся 66 антивирусными движками VirusTotal.

Злоумышленники рассылают письма от имени Департамента подоходного налога Министерства финансов Индии. В письме находится вложение со ссылкой на страницу, оформленную как официальный документ. Страница использует герб правительства, форматирование на хинди и английском языке, реальные ссылки на статьи налогового законодательства и поддельную подпись помощника комиссара, чтобы придать приманке правдоподобный вид.

После перехода жертве предлагают скачать архив «Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip». Название практически полностью повторяет имя настоящей офлайн-утилиты для подготовки налоговых деклараций, поэтому файл выглядит знакомым для бухгалтеров и налоговых специалистов. При запуске вредоносная программа создаёт службу Windows Mixed Reality Service, прописывает автозапуск и маскируется под компонент Windows.

Дальше заражение проходит в несколько этапов. Вредонос загружает файл «background.jpg», который выглядит как изображение, но хранит внутри дополнительные модули. Один из них внедряет код в процесс «svchost.exe», другой запускает .NET-нагрузку прямо в памяти и отключает проверку AMSI, через которую Windows обычно передаёт скрипты и код на проверку защитным средствам.

После закрепления вредоносная программа связывается с командными серверами по зашифрованному каналу, передаёт сведения о заражённой системе, имени пользователя, версии ОС, правах администратора и установленных средствах защиты. Отдельный модуль, по данным анализа, способен захватывать изображение с рабочего стола и сжимать снимки перед отправкой.

Seqrite связывает кампанию с китайским кластером кибершпионажа со средней или высокой степенью уверенности. Такой вывод основан на совпадениях инфраструктуры, китайскоязычных артефактах и сходстве приёмов с активностью, которую ранее связывали с группой Silver Fox.

Для снижения риска организациям и налоговым специалистам стоит скачивать налоговые утилиты только с официального портала, проверять домены в письмах, не запускать архивы из вложений и отслеживать появление подозрительной службы MixedSvc или файла «Mixed Reality.exe» в каталоге Windows Media Player.