Der Angriff beginnt mit Phishing-Nachrichten, die sich als Mitteilungen der indischen Einkommensteuerbehörde ausgeben. Die Mails arbeiten mit angeblichen Steuerverstößen und Strafandrohungen, um Zeitdruck zu erzeugen und Empfänger zum Klick auf einen schädlichen Link in einem PDF-Anhang zu bewegen. Genannt wird dabei die Adresse „govtop[.]one/incometax“.
Die verlinkte Seite fordert zum Download eines ZIP-Archivs auf, das wie ein übliches Offline-Werkzeug der Behörde zur Abgabe von Steuererklärungen aussieht. Tatsächlich ist das Paket laut Seqrite Labs darauf ausgelegt, eine schädliche DLL namens „nvdaHelperRemote.dll“ per DLL-Sideloading zu laden. Diese Komponente injiziert anschließend eine weitere Nutzlast direkt in den Arbeitsspeicher.
Die nachgeladene Komponente prüft zunächst, ob sie mit Administratorrechten läuft. Ist das nicht der Fall, löst sie eine Benutzerkontensteuerungs-Abfrage aus, um erhöhte Berechtigungen zu erhalten. Nach dem Start führt die Schadsoftware Kontrollen durch, um Analyse- und Sandbox-Umgebungen zu erkennen und die Ausführung dort zu vermeiden. Danach lädt sie von dem fest eingebetteten Server „204.194.48[.]250“ eine JPG-Datei namens „lllyd.jpg“ herunter und speichert sie als „C:\Windows\background.jpg“.
Wie Seqrite Labs erklärt, dient diese Bilddatei als Behälter für eine zweite Nutzlast. Daraus wird eine 504 Kilobyte große DLL extrahiert und unter „C:\Program Files\Windows Media Player\nvdaHelperRemote.dll“ abgelegt. Anschließend kopiert sich die Schadsoftware als „Mixed Reality.exe“ und richtet über den Windows-Dienst „MixedSvc“ eine Persistenz ein, die automatisch beim Systemstart aktiviert wird. Für Seqrite Labs bestätigt dieses Verhalten, dass die Probe als Downloader und Installer fungiert und sowohl bildbasierte Verschleierung als auch Windows-Dienst-Persistenz für einen dauerhaften Zugriff nutzt.
Die Datei „Mixed Reality.exe“ verteilt zwei verschiedene Nutzlasten. Eine davon ist ein .NET-Malware-Loader, der wiederum Anti-Analyse-Prüfungen vornimmt, Persistenz herstellt, die AMSI-Prüfung von Windows deaktiviert und anschließend DcRAT auf dem infizierten System entschlüsselt und lädt. Die zweite Nutzlast kann Bildschirmaufnahmen erstellen und Daten an den entfernten Server „kkxqbh[.]top“ exfiltrieren.
Wer genau hinter der Kampagne steckt, ist laut Bericht offen. Die Infrastruktur-Analyse weist jedoch auf IP-Adressen von ChinaNet hin. Außerdem war am DcRAT-Command-and-Control-Server „223.26.63[.]40“ ein chinesischsprachiges Web-Verwaltungsfeld erreichbar. Seqrite meldet zudem infrastrukturelle und taktische Überschneidungen mit Silver Fox, einer chinesischen Cybercrime-Gruppe, die zuvor mit steuerbezogenen Phishing-Kampagnen zur Verbreitung von ValleyRAT in Verbindung gebracht wurde.
Auf Basis dieser Ähnlichkeiten vermutet Seqrite Labs einen China-nahen Akteur. Nach Einschätzung des Unternehmens soll die Kampagne verdeckten Zugriff für Aufklärung, den Diebstahl von Zugangsdaten und die systematische Exfiltration von Daten schaffen.
Parallel dazu berichtete LevelBlue über zwei weitere Kampagnen, die ValleyRAT verbreiten und sich gegen chinesisch- und japanischsprachige Nutzer richten. Eine davon setzt auf Phishing-Mails mit Ködern zu Gehaltsanpassungen und liefert nach dem Aufruf eines Links ein ZIP-Archiv aus, das als Grundlage für eine DLL-Sideloading-Kette dient. Am Ende lädt und startet die DLL ValleyRAT, einen Fernzugriffstrojaner, der den Angreifern die Kontrolle über infizierte Systeme verschafft.
Die zweite Kampagne verwendet laut Cybereason gefälschte Installationsprogramme für populäre Software und setzt dabei unter anderem auf PoolParty Variante 7 sowie auf Maßnahmen gegen Analyse und Erkennung. Cybereason verweist darauf, dass die Injektion von Shellcode in „explorer.exe“ mit PoolParty Variante 7 bereits zuvor im Zusammenhang mit dem Malware-Loader SADBRIDGE beobachtet wurde, der die auf Golang basierende Quasar-RAT-Neuimplementierung GOSAR installiert. Elastic Security Labs hatte dieses Angriffsmuster, das mit schädlichen Installern für Telegram und Opera auf chinesischsprachige Regionen zielte, der Gruppe REF3864 zugeschrieben. Cybereason-Forscher Hajime Takai erklärte bereits im Februar 2026, dass die Gemeinsamkeiten zwar keinen endgültigen Beweis lieferten, aber darauf hindeuteten, dass derselbe Akteur hinter beiden Aktivitäten stehen könnte.
