Imagen con doble fondo: hackers atacaron a contables con una herramienta fiscal falsa
Una tarea estacional permitió a los delincuentes acercarse más de lo habitual.
La temporada de declaraciones fiscales en India se ha convertido en un punto de entrada conveniente para ciberespías: especialistas de Seqrite detectaron una campaña activa, Operation DragonReturn, en la que los atacantes hacen pasar archivos maliciosos por una utilidad oficial del departamento de impuestos.
El ataque está dirigido a contribuyentes indios, departamentos contables y financieros de empresas, asesores fiscales y contratistas de organismos públicos. La campaña fue detectada por primera vez el 18 de mayo de 2026, y al 17 de junio la actividad maliciosa seguía en curso. La última variante del archivo, en el momento del análisis, no era detectada por 66 motores antivirus en VirusTotal.
Los atacantes envían correos electrónicos haciéndose pasar por el Departamento de Impuestos sobre la Renta del Ministerio de Finanzas de India. El mensaje contiene un adjunto con un enlace a una página presentada como documento oficial. La página utiliza el escudo del gobierno, formato en hindi e inglés, enlaces reales a artículos de la legislación fiscal y una firma falsa de un asistente del comisionado para dar credibilidad al señuelo.
Tras acceder al enlace, se ofrece a la víctima descargar el archivo comprimido «Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip». El nombre reproduce en gran medida la denominación de la verdadera utilidad fuera de línea para confeccionar declaraciones, por lo que el archivo resulta familiar para contables y especialistas fiscales. Al ejecutarse, el malware crea un servicio de Windows llamado Mixed Reality Service, configura el inicio automático y se camufla como componente Windows.
A continuación la infección avanza en varias etapas. El malware descarga el archivo «background.jpg», que parece una imagen pero contiene módulos adicionales en su interior. Uno de ellos inyecta código en el proceso svchost.exe; otro ejecuta una carga útil .NET directamente en la memoria y desactiva la comprobación AMSI, por la que Windows normalmente pasa scripts y código para su inspección por las soluciones de seguridad.
Tras afianzarse, el malware se comunica con servidores de comando y control por un canal cifrado, envía información sobre el sistema infectado, el nombre de usuario, la versión del sistema operativo, privilegios de administrador y las soluciones de seguridad instaladas. Un módulo separado, según el análisis, puede capturar imágenes del escritorio y comprimir las capturas antes de enviarlas.
Seqrite relaciona la campaña con un clúster chino de ciberespionaje con grado de confianza medio o alto. Esta conclusión se basa en coincidencias de infraestructura, artefactos en idioma chino y similitudes en las tácticas con actividad previamente vinculada al grupo Silver Fox.
Para reducir el riesgo, las organizaciones y los profesionales fiscales deben descargar utilidades tributarias solo desde el portal oficial, verificar los dominios en los correos, no ejecutar archivos comprimidos procedentes de adjuntos y vigilar la aparición del servicio sospechoso MixedSvc o del archivo «Mixed Reality.exe» en el directorio de Windows Media Player.