Des hackers liés à la Chine ont trojanisé un utilitaire fiscal officiel indien pour déployer DcRAT et Gh0st RAT via DLL side-loading, ciblant le ministère des Finances dans ce que Seqrite nomme l'opération DragonReturn.
En bref
- Des hackers liés à la Chine ont trojanisé un outil fiscal officiel indien pour déployer DcRAT et Gh0st RAT sur des cibles gouvernementales.
- La campagne DragonReturn, avec chevauchement Silver Fox, frappe l'administration du ministère des Finances indien depuis le 18 mai 2026.
- Les organisations publiques et financières doivent auditer leurs postes pour toute trace de DcRAT et vérifier l'origine de leurs téléchargements d'outils officiels.
Une fausse déclaration fiscale qui installe deux RAT
Depuis le 18 mai 2026, une campagne de cyberespionnage ciblée frappe les organisations liées à l'administration fiscale indienne. Baptisée Operation DragonReturn par les chercheurs de Seqrite Labs, elle repose sur un mécanisme d'infection en plusieurs étapes que les équipes de sécurité de Cyderes ont également documenté en parallèle : des emails de spear-phishing usurpant l'identité du département Income Tax Department of India convainquent leurs destinataires de télécharger un utilitaire offline qui imite à la perfection l'outil de déclaration fiscale distribué officiellement par le ministère des Finances indien (MoF). Derrière cette façade administrative se cache une archive ZIP qui déclenche une chaîne de DLL side-loading aboutissant au déploiement de deux implants malveillants distincts.
Le premier payload est une variante du RAT Gh0st, famille de chevaux de Troie d'accès à distance historiquement associée aux opérateurs chinois depuis la fin des années 2000. Dans cette campagne, la variante se connecte au serveur de commande et contrôle kkxqbh[.]top sur le port 6666, une infrastructure hébergée sur ChinaNet, l'opérateur de télécommunications d'État chinois. Le second payload appartient à la famille AsyncRAT — initialement un outil open-source à vocation de support technique détourné à des fins malveillantes — et communique avec ouewop[.]com sur le port 6351. Les deux domaines ont été enregistrés peu de temps avant le démarrage de la campagne, ce qui indique une infrastructure jetable créée spécifiquement pour cette opération.
À ces deux RAT s'ajoute DcRAT (Dark Crystal RAT), un cheval de Troie open-source initialement commercialisé dans des forums russophones dont le code source est devenu accessible et a depuis lors été adopté par de nombreux groupes de menace. DcRAT offre un ensemble de fonctionnalités de surveillance complet : keylogging, capture d'écran, exfiltration de fichiers, extraction des identifiants stockés dans les navigateurs web, et exécution de commandes arbitraires à distance. Sa modularité et la disponibilité publique de son code facilitent son adaptation et sa personnalisation par différents acteurs, ce qui en fait un choix courant pour des opérations cherchant à brouiller les pistes de l'attribution.
L'attribution à un acteur lié à la Chine repose sur plusieurs faisceaux d'indices documentés par Seqrite et Cyderes. L'analyse de l'infrastructure révèle l'utilisation systématique d'adresses IP appartenant au réseau ChinaNet. La découverte d'un panneau d'administration web intégralement rédigé en langue chinoise dans les outils de gestion de l'infrastructure constitue un second indicateur fort. Mais c'est surtout le chevauchement tactique et d'infrastructure avec Silver Fox — groupe cybercriminel chinois déjà documenté pour ses campagnes de phishing à thème fiscal livrant ValleyRAT — identifié par Seqrite Labs qui renforce cette attribution. Silver Fox avait par ailleurs lancé en mai 2026 une campagne distincte ciblant l'Inde et la Russie avec le malware ABCDoor, selon The Hacker News.
La chaîne d'infection exploite la technique du DLL side-loading : le ZIP malveillant contient un exécutable légitime et signé numériquement par un éditeur de confiance, utilisé comme point d'entrée pour charger latéralement une bibliothèque DLL malveillante. Cette approche contourne efficacement les défenses basées sur la réputation des fichiers exécutables et les listes blanches d'applications, puisque c'est un binaire légitimement signé qui initie la chaîne d'infection. Le DLL side-loading est une technique de prédilection des opérateurs asiatiques, documentée dans les campagnes de Mustang Panda, APT41 et désormais Silver Fox.
Les objectifs présumés de l'opération DragonReturn sont multiples : établir un accès furtif persistant dans les systèmes du ministère des Finances indien, dérober des identifiants de connexion à des plateformes fiscales et financières gouvernementales, et procéder à une exfiltration systématique de données sensibles. La nature des cibles — directement liées à la politique fiscale et budgétaire du gouvernement indien — suggère un intérêt particulier pour les données économiques à caractère stratégique, potentiellement utiles à des fins de contre-espionnage économique ou d'anticipation de décisions politiques.
Du point de vue de la détection, les indicateurs de compromission (IoC) publiés par Seqrite comprennent les deux domaines C2 mentionnés, ainsi que les hash des fichiers ZIP et DLL impliqués. Les solutions EDR capables de détecter les comportements de DLL side-loading et les connexions sortantes vers des domaines récemment créés sont en mesure de bloquer cette chaîne d'infection. La détection basée sur les signatures seules s'avère insuffisante, DcRAT et les variantes de Gh0st RAT étant régulièrement modifiés pour échapper aux signatures statiques.
The Hacker News a publié un premier rapport sur cette campagne le 6 juillet 2026, relayé par de nombreux portails de threat intelligence. L'opération s'inscrit dans un contexte de tensions sino-indiennes persistantes et d'une intensification notable des cyberopérations chinoises ciblant le sous-continent. Les secteurs gouvernementaux, défense et télécommunications indiens ont enregistré un nombre record d'intrusions attribuées à des acteurs d'État chinois depuis le début 2026, selon les rapports de plusieurs sociétés de threat intelligence publiés au premier semestre.
Le phishing fiscal : un vecteur APT en pleine renaissance
L'utilisation d'appâts liés aux administrations fiscales comme vecteur d'intrusion initial connaît une renaissance marquée en 2026. L'efficacité de cette approche tient à plusieurs facteurs structurels. La saison fiscale crée une pression temporelle qui pousse les utilisateurs à télécharger des outils sans en vérifier minutieusement la provenance. Les logiciels fiscaux officiels étant souvent distribués en dehors des app stores classiques — via des portails gouvernementaux ou des liens envoyés par email — les utilisateurs ont été conditionnés à accepter des téléchargements atypiques. Enfin, les cibles concernées (comptables, responsables fiscaux, directeurs financiers, agents du Trésor) ont accès à des données d'une sensibilité particulièrement élevée, ce qui augmente le retour sur investissement de l'opération pour les attaquants.
Cette campagne illustre également l'évolution du profil de Silver Fox. Initialement catalogué comme un groupe à motivation financière, il a progressivement glissé vers des opérations de style APT depuis 2024. Ce phénomène n'est pas isolé : plusieurs groupes cybercriminels chinois ont connu cette transformation, certains analystes avançant l'hypothèse d'un tasking par des agences de renseignement étatiques à la suite de succès opérationnels initiaux. La ligne entre cybercrime organisé et espionnage d'État en Chine est structurellement plus poreuse que dans d'autres écosystèmes.
Pour les RSSI et équipes de sécurité, l'opération DragonReturn met en évidence la nécessité d'un programme de sensibilisation ciblant spécifiquement les téléchargements d'outils officiels. Les règles de base doivent être martelées : un outil gouvernemental légitime ne sera jamais envoyé par email par une administration ; tout exécutable doit être téléchargé depuis le portail officiel de l'entité concernée ; la vérification du certificat de signature numérique et du hash SHA-256 contre les valeurs publiées officiellement est indispensable avant toute installation.
Sur le plan géopolitique, la répétition de campagnes d'espionnage économique chinoises ciblant l'Inde reflète l'intensité de la compétition stratégique entre les deux puissances asiatiques. Cette dynamique n'est pas sans conséquences pour les entreprises françaises présentes en Inde : elles peuvent être utilisées comme vecteur de compromission latérale vers des cibles gouvernementales indiennes, ou être elles-mêmes victimes d'opérations collatérales visant à collecter des données économiques à portée géostratégique.
Ce qu'il faut retenir
- Operation DragonReturn utilise un faux utilitaire fiscal indien pour déployer DcRAT et Gh0st RAT, avec des liens d'infrastructure vers Silver Fox et ChinaNet.
- La technique de DLL side-loading via un binaire légitimement signé contourne les défenses basées sur la réputation et nécessite une détection comportementale.
- Les organisations ayant des liens avec l'Inde (filiales, partenaires, clients publics) doivent intégrer les IoC publiés par Seqrite et renforcer la sensibilisation aux téléchargements d'outils officiels.
Comment vérifier qu'un utilitaire fiscal téléchargé est authentique ?
Téléchargez exclusivement depuis le domaine officiel du gouvernement émetteur (incometaxindia.gov.in pour l'Inde, impots.gouv.fr pour la France). Vérifiez la signature numérique de l'exécutable : clic droit puis Propriétés puis Signatures numériques, elle doit correspondre à l'entité gouvernementale concernée. Calculez ensuite le hash SHA-256 du fichier téléchargé et comparez-le avec la valeur publiée officiellement sur le portail. N'installez jamais un outil fiscal reçu par email ou hébergé sur un site tiers, même si l'URL semble convaincante.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Claude Science : Anthropic entre dans la R&D pharmaceutique
Anthropic lance Claude Science, une plateforme IA intégrant 60+ outils scientifiques pour la recherche pharmaceutique, et annonce un programme interne de découverte de médicaments pour maladies négligées.
HSIN compromis : le DHS confirme une brèche sur son réseau
Le DHS confirme une intrusion sur HSIN, son réseau sensible de partage d'informations sécuritaires, survenue entre fin mai et début juin 2026, à quelques semaines de la finale de la Coupe du Monde FIFA 2026.
UK finance : Microsoft, AWS, Google et Oracle en tiers critiques
Le Royaume-Uni désigne Microsoft, AWS, Google et Oracle comme tiers critiques du secteur financier, plaçant ces hyperscalers sous la supervision directe de la Banque d'Angleterre et de la FCA à compter du 13 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire