Giriş
Son günlerde, Çin ile bağlantılı olduğu değerlendirilen bir tehdit grubu, Hindistan’daki vergi mükelleflerine, vergi uzmanlarına ve kurumsal mali ekiplerine yönelik siber saldırılarda bulunuyor. Özellikle, bu saldırılar kişisel verilerin çalınması amacıyla tasarlanmış uzaktan erişim trojanının (RAT) dağıtımını hedef alıyor.
Saldırı Nasıl Çalışıyor?
Seqrite Labs tarafından “Operation DragonReturn” olarak adlandırılan bu çok aşamalı kampanya, Hindistan Gelir İdaresi’ni taklit eden oltalama (phishing) e-postaları göndererek başlıyor. İlk kez 18 Mayıs 2026 ‘da gözlemlenen bu etkinlik, ülkedeki yıllık gelir vergisi dosyalama sezonu ile aynı zamana denk geliyor. Saldıganın amacı, mali kazanç sağlamak veya hassas verileri çalmak olarak değerlendiriliyor.
Saldırı zinciri, Hindistan’ın vergi dairesi gibi görünen oltalama mesajlarıyla başlamakta ve vergi ihlalleri ile ceza korkusunu kullanarak kullanıcıları kötü amaçlı bir bağlantıya tıklamaya teşvik etmektedir. Bu bağlantı “govtop[.]one/incometax” şeklindedir ve PDF ekleri içerisinde gizlenmiştir.
Etkilenen Sistemler
Kullanıcılara, vergi beyannamelerini sunmak için Gelir İdaresi tarafından sağlanan yaygın bir çevrimdışı yardımcı programı olduğu iddia edilen bir ZIP arşivi indirtilmektedir. Ancak gerçekte bu dosya, zararlı bir DLL olan “nvdaHelperRemote.dll” tarafında yan yükleme yapacak şekilde tasarlanmıştır. Bu DLL, başka bir yükü bellek içerisinde enjekte etmektedir.
Yük, yönetici ayrıcalıkları ile çalışacak şekilde ayarlanmakta ve eğer gerekli izinlere sahip değilse, “Kullanıcı Hesabı Kontrolü” (UAC) istemi ile kullanıcının izin vermesi sağlanmaktadır. Yük çalıştırıldığında, analiz ve sanal ortamlar içerisinde çalışmaması için kontroller yapmaktadır. Daha sonra, bir JPG dosyasını “204.194.48[.]250” adresinden alarak “C:Windowsbackground.jpg” olarak kaydetmektedir.
Seqrite Labs, bu dosyanın bir ikinci yük için kaplayıcı olarak kullanıldığını açıklamaktadır. Bu süreç, “Mixed Reality.exe” adı verilen bir uygulamanın çalıştırılmasıyla devam etmekte ve sistemin açılışında otomatik olarak çalışması için Windows servisi oluşturmaktadır.
Çözüm ve Korunma
Kampanyanın arkasındaki aktörlerin kim olduğu hala belirsiz olsa da, kullanılan altyapının ÇinNet IP adreslerine ait olduğu gözlemlenmiştir. CVE-2026-XXXX koduyla kaydedilen zafiyetler üzerinden geçtiğimiz ay gerçekleşen saldırılar, kullanıcılara olumsuz sonuçlar doğurabileceğinden güvenlik önlemleri almak önemlidir.
Aşağıdaki adımları takip etmek etkin bir koruma sağlayacaktır:
- Tüm sistemlerinizi güncelleyiniz: Yazılım güncellemelerinde önemli güvenlik yamasının bulunduğuna dikkat edin.
- Şüpheli e-postaları açmayın: Bilinmeyen veya şüpheli kaynaklardan gelen e-postalara dikkat edin.
- Güvenlik yazılımlarınızı etkin tutun: Antivirüs ve güvenlik duvarı yazılımlarının güncel olduğundan emin olun.
- Portları kapatmayı düşünün: Gereksiz açık portlar, saldırganlar için bir giriş noktası oluşturabilir.
Sonuç
Bu tür saldırılara karşı koymak için dikkatli olmak ve yukarıda belirtilen önlemleri almak gerekmektedir. Herhangi bir şüpheli aktivite tespit ettiğinizde, hemen yetkililere bildiriniz ve sistemlerinizi gözden geçirmek için güvenlik uzmanlarıyla iletişime geçiniz.


