Operation, DragonReturn

Operation DragonReturn: Chinesische Hacker zielen auf indische Steuerdaten

07.07.2026 - 03:45:01 | boerse-global.de

Hacker tarnen Schadsoftware DcRAT als Steuerbescheid und stehlen gezielt Finanzdaten von Unternehmen in Indien.

Operation DragonReturn: Cyberangriff auf indische Steuerzahler
Operation - Verschwommene Gestalt im Hoodie tippt auf Laptop, digitale Overlays deuten auf Cyberkriminalität gegen Indien hin. 07.07.2026 - Bild: über boerse-global.de

Eine neu entdeckte Cyberkampagne namens Operation DragonReturn setzt gezielt indische Steuerzahler, Steuerberater und Finanzabteilungen unter Druck. Sicherheitsforscher von Seqrite Labs entdeckten die Angriffswelle Anfang Juli 2026. Die Täter geben sich als indische Steuerbehörde aus und schleusen eine Schadsoftware namens DcRAT ein.

Perfide Masche mit Steuerbescheiden

Die Angreifer verschicken seit dem 18. Mai 2026 gezielte Spear-Phishing-E-Mails. Darin warnen sie die Empfänger vor angeblichen Steuerverstößen – ein Trick, der Druck erzeugen und zur überstürzten Interaktion verleiten soll. Wer auf den Link klickt, landet auf einer gefälschten Webseite, die ein ZIP-Archiv als offizielles Steuerprogramm tarnt.

Doch der Download entpuppt sich als mehrstufige Infektionskette. Die Hacker nutzen eine Technik namens DLL-Side-Loading: Ein legitimes Programm lädt eine manipulierte Bibliotheksdatei, die von Sicherheitslösungen oft unbemerkt bleibt.

Anzeige

Der Fall der Operation DragonReturn zeigt eindrucksvoll, wie perfide Hacker psychologische Tricks nutzen, um in Firmennetzwerke einzudringen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie solche Angriffe frühzeitig entlarven und Ihre Mitarbeiter wirksam schützen. In 4 Schritten zum sicheren Unternehmen – Gratis-Leitfaden jetzt herunterladen

Versteckt in der Bilddatei

Der Schadcode ruft von einem entfernten Server ein Bild ab. Aus diesem Bild extrahiert das System eine 504 Kilobyte große Bibliotheksdatei. Diese landet im Windows-Media-Player-Verzeichnis – getarnt als „Mixed Reality.exe". Um die Infektion dauerhaft zu machen, installieren die Angreifer einen Windows-Dienst namens MixedSvc. Nach jedem Neustart startet die Malware automatisch neu.

Das finale Schadprogramm DcRAT gibt den Angreifern die volle Kontrolle über das infizierte System. Besonders im Visier: hochsensible Finanzdokumente wie Bankabstimmungsdateien, Umsatzsteuer- und Vorsteueraufzeichnungen, Steuererklärungen sowie Unterlagen zu Fusionen, Übernahmen und Finanzprognosen.

Anzeige

Phishing-Angriffe wie diese verursachen jährlich Rekord-Schäden, da sie gezielt menschliche Schwachstellen ausnutzen. Schützen Sie Ihr Unternehmen proaktiv mit bewährten Awareness-Strategien und einer detaillierten Risikoanalyse aus unserem kostenlosen Experten-Report. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

Spur führt nach China

Die Analyse der Kommando- und Kontrollserver (C2) zeigt deutliche Verbindungen nach China. Die Server laufen über ChinaNet-IP-Adressen, das Administrationspanel ist auf Chinesisch konfiguriert. Sicherheitsexperten sehen zudem taktische Überschneidungen mit einer bekannten Gruppe namens Silver Fox, die bereits früher die Schadsoftware ValleyRAT verbreitet hat.

Das Ziel der Kampagne ist klar: finanzielle Beute und der Diebstahl vertraulicher Unternehmensdaten. Die Entdeckung zeigt, wie Angreifer alltägliche Steuerprozesse ausnutzen, um in Firmennetzwerke einzudringen.

de | wissenschaft | 69709570 |