Operation DragonReturn: Chinesische Hacker zielen auf indische Steuerdaten
07.07.2026 - 03:45:01 | boerse-global.de
Eine neu entdeckte Cyberkampagne namens Operation DragonReturn setzt gezielt indische Steuerzahler, Steuerberater und Finanzabteilungen unter Druck. Sicherheitsforscher von Seqrite Labs entdeckten die Angriffswelle Anfang Juli 2026. Die Täter geben sich als indische Steuerbehörde aus und schleusen eine Schadsoftware namens DcRAT ein.
Perfide Masche mit Steuerbescheiden
Die Angreifer verschicken seit dem 18. Mai 2026 gezielte Spear-Phishing-E-Mails. Darin warnen sie die Empfänger vor angeblichen Steuerverstößen – ein Trick, der Druck erzeugen und zur überstürzten Interaktion verleiten soll. Wer auf den Link klickt, landet auf einer gefälschten Webseite, die ein ZIP-Archiv als offizielles Steuerprogramm tarnt.
Doch der Download entpuppt sich als mehrstufige Infektionskette. Die Hacker nutzen eine Technik namens DLL-Side-Loading: Ein legitimes Programm lädt eine manipulierte Bibliotheksdatei, die von Sicherheitslösungen oft unbemerkt bleibt.
Der Fall der Operation DragonReturn zeigt eindrucksvoll, wie perfide Hacker psychologische Tricks nutzen, um in Firmennetzwerke einzudringen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie solche Angriffe frühzeitig entlarven und Ihre Mitarbeiter wirksam schützen. In 4 Schritten zum sicheren Unternehmen – Gratis-Leitfaden jetzt herunterladen
Versteckt in der Bilddatei
Der Schadcode ruft von einem entfernten Server ein Bild ab. Aus diesem Bild extrahiert das System eine 504 Kilobyte große Bibliotheksdatei. Diese landet im Windows-Media-Player-Verzeichnis – getarnt als „Mixed Reality.exe". Um die Infektion dauerhaft zu machen, installieren die Angreifer einen Windows-Dienst namens MixedSvc. Nach jedem Neustart startet die Malware automatisch neu.
Das finale Schadprogramm DcRAT gibt den Angreifern die volle Kontrolle über das infizierte System. Besonders im Visier: hochsensible Finanzdokumente wie Bankabstimmungsdateien, Umsatzsteuer- und Vorsteueraufzeichnungen, Steuererklärungen sowie Unterlagen zu Fusionen, Übernahmen und Finanzprognosen.
Phishing-Angriffe wie diese verursachen jährlich Rekord-Schäden, da sie gezielt menschliche Schwachstellen ausnutzen. Schützen Sie Ihr Unternehmen proaktiv mit bewährten Awareness-Strategien und einer detaillierten Risikoanalyse aus unserem kostenlosen Experten-Report. Kostenloses Anti-Phishing-Paket für Unternehmen sichern
Spur führt nach China
Die Analyse der Kommando- und Kontrollserver (C2) zeigt deutliche Verbindungen nach China. Die Server laufen über ChinaNet-IP-Adressen, das Administrationspanel ist auf Chinesisch konfiguriert. Sicherheitsexperten sehen zudem taktische Überschneidungen mit einer bekannten Gruppe namens Silver Fox, die bereits früher die Schadsoftware ValleyRAT verbreitet hat.
Das Ziel der Kampagne ist klar: finanzielle Beute und der Diebstahl vertraulicher Unternehmensdaten. Die Entdeckung zeigt, wie Angreifer alltägliche Steuerprozesse ausnutzen, um in Firmennetzwerke einzudringen.
