Çin Bağlantılı Hackerlar Sahte Hindistan Vergi Aracıyla DcRAT Yayılımı Gerçekleştiriyor

Anasayfa » Çin Bağlantılı Hackerlar Sahte Hindistan Vergi Aracıyla DcRAT Yayılımı Gerçekleştiriyor
Çin Bağlantılı Hackerlar Sahte Hindistan Vergi Aracıyla DcRAT Yayılımı Gerçekleştiriyor

Mayıs 2026’nın ortalarından itibaren tespit edilen ve Operation DragonReturn adı verilen çok aşamalı siber saldırı kampanyası, Hindistan Gelir İdaresi’ni taklit eden hedefli oltalama e-postalarıyla başladı. Bu saldırı, ülkenin yıllık gelir vergisi beyan dönemine denk gelmesiyle dikkat çekiyor.

Saldırı Zincirinin Anatomisi

Kampanyada, kullanıcıları vergi ihlalleri ve cezalarla korkutarak PDF eki içindeki zararlı bir linke tıklamaya yönlendiren e-postalar yayılıyor. Link, “govtop[.]one/incometax” adresinde sahte bir vergi beyan sayfasına götürüyor. Burada indirilen ZIP arşivi, aslında zararlı bir DLL dosyasını (“nvdaHelperRemote.dll”) gizlice yükleyen ve ardından bellek içi yeni bir kötü amaçlı yazılımı devreye alan sahte bir vergi beyannamesi aracını içeriyor.

Yüklenen zararlı, yönetici yetkileriyle çalışmayı garanti altına almak için kullanıcıdan gerekli izinleri talep ediyor. Çalıştırıldıktan sonra analiz ortamı ve sandbox kontrolü yaparak kendini gizliyor. Ardından sabit kodlu bir sunucudan (“204.194.48[.]250”) “lllyd.jpg” adlı bir resim dosyasını indirip, bu dosyadan 504 KB boyutunda ikinci bir DLL dosyasını çıkartıp, Windows Media Player dizinine yerleştiriyor.

Malware, “Mixed Reality.exe” adıyla kendisini kopyalayıp, sistem başlangıcında otomatik çalışacak şekilde “MixedSvc” adlı bir Windows servisi oluşturuyor. Bu, kalıcı erişim sağlamak için kullanılan yaygın bir teknik.

DcRAT ve Veri Sızıntısı

“Mixed Reality.exe” dosyası, iki farklı zararlıyı devreye alıyor: Birincisi, .NET tabanlı bir zararlı yükleyici; anti-analiz önlemleri uyguluyor, sistemde kalıcı oluyor, Windows AMSI taramasını devre dışı bırakıyor ve DcRAT isimli uzaktan erişim truva atını aktif hale getiriyor. İkinci zararlı ise ekran görüntüsü alma ve verileri uzaktaki bir sunucuya (“kkxqbh[.]top”) sızdırma işlevine sahip.

Kampanyanın Arkasındaki İpuçları

İncelemeler, saldırıda kullanılan altyapı ve IP adreslerinin Çin merkezli ağlar üzerinden işlediğine işaret ediyor. Ayrıca, DCRat kontrol sunucusunda Çin dilinde bir yönetim paneli açığa çıkmış durumda. Bu bulgular; daha önce benzer vergi temalı oltalama kampanyalarıyla ilişkilendirilen Silver Fox adlı Çinli siber suç grubuyla bağlantılar kurulmasına yol açıyor.

Benzer taktik ve altyapı kullanımı, bu saldırının Çin odaklı bir tehdit aktörü tarafından, istihbarat toplama, kimlik bilgisi hırsızlığı ve sistematik veri sızdırma amaçlarıyla yürütüldüğünü düşündürüyor.

Benzer Kampanyalar ve Gelişmeler

Ek olarak, başka bir rapor Çin ve Japonca konuşan kullanıcıları hedef alan, LINE ve maaş düzenlemesi temalı oltalama e-postalarıyla ValleyRAT dağıtan iki farklı operasyonu ortaya koyuyor. Bu kampanyalar, zararlı yazılımları sahte kurulum dosyaları aracılığıyla yayarken, gelişmiş anti-analiz tekniklerinden ve tespit engellemelerinden yararlanıyor.

Özellikle PoolParty Variant 7 adlı teknikle “explorer.exe” içine zararlı kod enjeksiyonu yapıldığı, bunun daha önce SADBRIDGE adlı özel bir zararlı yükleyiciyle ilişkilendirildiği kaydedildi. SADBRIDGE, Quasar RAT’ın Go dilinde yeniden yazılmış versiyonu olan GOSAR’ı yaymak için kullanılıyor. Bu saldırı seti, Çince konuşulan bölgelerde Telegram ve Opera için sahte kurulumlar kullanmış ve Elastic Security Labs tarafından REF3864 olarak kodlanmış.

Teknik Özet: Saldırı Zinciri ve Savunma Önerileri

Başlangıçta hedefe yönelik oltalama e-postalarıyla başlayan saldırı, kullanıcıları sahte vergi dosyası yanıt aracı indirip çalıştırmaya ikna ediyor. Buradan zararlı DLL side-loading yöntemi ve bellek içi kod enjeksiyonu ile DcRAT ve ValleyRAT gibi uzak erişim trojanları sisteme yerleşiyor.

Bu saldırıların önüne geçmek için e-posta güvenliği çözümlerinin güçlendirilmesi, çok faktörlü kimlik doğrulama sistemlerinin (MFA) yaygınlaştırılması, ağ segmentasyonu ve endpoint detection and response (EDR) sistemlerinin aktif olarak kullanılması kritik. Ayrıca, User Account Control (UAC) ayarlarının sıkı tutulması ve şüpheli dosya indirmelerine karşı kullanıcıların bilinçlendirilmesi gerekiyor.

Sonuç olarak, bu tür karmaşık saldırılar hem bireysel kullanıcılar hem kurumlar için ciddi bir tehdit oluşturuyor. Özellikle vergi sezonu gibi kritik zamanlarda, oltalama kampanyalarının artabileceği göz önünde bulundurulmalı ve proaktif savunma stratejileri hayata geçirilmeli.