
インドの納税者や税務専門家、企業の財務部門を狙い、税務当局からの通知を装って遠隔操作マルウェアを感染させる攻撃が確認されました。攻撃者は偽の税務申告サイトからZIPファイルをダウンロードさせ、画像ファイルへのペイロード隠蔽やDLLサイドローディングを組み合わせて、DcRATなどを展開していたと報告されています。関連する別の攻撃では、日本語話者を対象としたValleyRATの配布も確認されており、国内組織も同様の手口に注意が必要です。
The Hacker News:Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT
この記事のポイント
影響のあるシステム
- インドの納税者、税務専門家、企業の経理・財務担当者が使用するWindows端末
- インド所得税当局を装ったメールや偽Webサイトからファイルをダウンロードした端末
- 偽の税務申告用オフラインユーティリティを含むZIPファイルを開いた端末
- DLLサイドローディングにより、nvdaHelperRemote.dllなどの不正DLLが実行された端末
- DcRAT、AsyncRAT系マルウェア、Gh0st RAT派生型などが展開されたWindows端末
- 偽のLINEインストーラーや給与改定を装うメールを受信する中国語・日本語話者の利用者
推奨される対策
- 税務当局や公的機関を名乗るメールのリンクを直接開かず、公式サイトをブックマークや検索結果から確認する
- PDF内のリンクからZIPファイルや申告用ツールをダウンロードしない
- 税務申告ソフトは、管轄する税務当局が案内する正規サイトからのみ入手する
- 展開元が不明なZIPファイルや、正規ソフトに見せかけたインストーラーを実行しない
- WindowsのUAC確認画面が予期せず表示された場合は、許可せずに実行元を確認する
- 不審なWindowsサービス、特に自動起動するMixedSvcなどが登録されていないか確認する
- 正規実行ファイルによる想定外のDLL読み込みや、explorer.exeへのコード注入を監視する
- AMSIの無効化、画像ファイルからの実行コード抽出、外部C2サーバーへの不審な通信を検知する
- 経理・財務担当者に対し、納税違反や罰金を理由に行動を急がせるメールへの注意喚起を行う
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- RAT:Remote Access Trojanの略称です。感染した端末を外部から遠隔操作し、情報窃取や追加マルウェアの実行などを行うプログラムです。
- DcRAT:Windows端末の遠隔操作や情報窃取などに利用される.NETベースのRATです。
- DLLサイドローディング:正規の実行ファイルが特定のDLLを読み込む仕組みを悪用し、同名の不正DLLを実行させる手法です。
- スピアフィッシング:特定の個人や組織、職種などに対象を絞り、業務に関連する内容を装って不正なリンクやファイルを開かせる攻撃です。
- C2サーバー:Command and Controlサーバーの略称です。攻撃者が感染端末へ命令を送り、窃取した情報を受け取るために使用します。
- UAC:User Account Controlの略称です。Windowsで管理者権限を必要とする操作を実行する際に、利用者へ確認を求める機能です。
- AMSI:Antimalware Scan Interfaceの略称です。Windows上でPowerShellやスクリプトなどの内容をセキュリティ製品が検査するための仕組みです。
- ポリグロットファイル:複数のファイル形式として解釈できるように作られたファイルです。本件では画像に見えるファイルが不正なペイロードの格納にも利用されました。
- 永続化:端末の再起動後もマルウェアや攻撃者のアクセス手段を継続させるための設定や手法です。
税務違反の通知を装い、偽の申告ツールへ誘導

Seqrite Labsが「Operation DragonReturn」と名付けた攻撃活動は、2026年5月18日に初めて確認されました。標的はインドの納税者、税務専門家、企業の財務部門で、同国の所得税申告シーズンに合わせて展開されていたと報告されています。攻撃メールはインド所得税当局からの連絡を装い、税務上の違反や罰金が発生しているように見せかけることで、受信者に対応を急がせていました。
メールに添付されたPDFには、不正なWebサイト「govtop[.]one/incometax」へ誘導するリンクが埋め込まれていました。リンクを開くと、インドの所得税申告で使用される一般的なオフラインユーティリティを装ったページが表示され、ZIPファイルのダウンロードを促します。しかし、配布されるファイルは正規の申告ツールではなく、最終的に遠隔操作マルウェアを実行するよう設計されていました。
研究者は、誘導文書に実在する法的な引用が使われていたほか、複数言語の内容や定期的なペイロードの変更が確認されたと説明しています。単に多数の利用者へ無差別に送信する攻撃ではなく、インドの税務手続きや納税者の行動を調査したうえで構成された、継続的な活動である可能性が指摘されています。最終的な目的は、感染端末への長期的なアクセスを確保し、認証情報や機密データを窃取すること、または金銭的利益を得ることと評価されています。
公的機関を装った攻撃では、文面やWebサイトが自然に見えることだけで安全性を判断できません。税務申告や罰金に関する突然の通知を受け取った場合は、メール内のリンクを使用せず、公式サイトに直接アクセスして通知の有無を確認する必要があります。特に経理や財務部門は日常的に税務関連ファイルを扱うため、攻撃者にとって業務に紛れ込ませやすい標的となります。
画像ファイルに隠したペイロードから複数のRATを展開
ダウンロードされたZIPファイルを展開して偽ユーティリティを実行すると、「nvdaHelperRemote.dll」という不正DLLがサイドローディングされ、別のペイロードがメモリ上へ注入されます。不正プログラムは管理者権限で実行されているか確認し、権限が不足している場合はUACの確認画面を表示して、利用者に管理者権限での実行を許可させようとします。また、解析環境やサンドボックスで動作していないかを調べる処理も備えていました。
その後、ハードコードされたIPアドレス「204.194.48[.]250」から「lllyd.jpg」というJPG画像を取得し、「C:\Windows\background.jpg」として保存します。この画像は単なる背景画像ではなく、次の段階で使用する不正なペイロードを格納する容器として使われていました。マルウェアは画像内から約504KBのDLLを抽出し、「C:\Program Files\Windows Media Player\nvdaHelperRemote.dll」へ書き込みます。
さらに、自身を「Mixed Reality.exe」という名称で複製し、「MixedSvc」というWindowsサービスを作成します。このサービスはWindowsの起動時に自動実行されるよう設定されており、端末を再起動した後も活動を継続するための永続化手段となっていました。「Mixed Reality.exe」は少なくとも2種類のペイロードを展開します。一つは.NETベースのローダーで、解析回避、永続化、Windows AMSIの無効化を行い、DcRATを復号してメモリ上へ読み込みます。もう一つは、画面のスクリーンショットを取得し、収集したデータを「kkxqbh[.]top」へ送信する機能を備えていました。
その後のCyderesによる分析では、同一とみられる攻撃経路から、Gh0st RATの派生型とAsyncRAT系のRATが配布される事例も確認されています。二つのマルウェアは異なるC2サーバーやポートへ接続するため、一方が検知・遮断された場合でも、もう一方の遠隔操作経路が残る可能性があります。複数の独立したRATを同時に導入する構成は、侵害状態を長期間維持し、対応を困難にすることを意図したものと考えられます。
攻撃主体の特定には未確定要素が残る

この活動を実行した攻撃者の正確な身元は特定されていません。Seqrite Labsは、攻撃インフラの分析からChinaNetに属するIPアドレスが使用されていたことや、DcRATのC2サーバー「223.26.63[.]40」で中国語のWeb管理画面が外部へ公開されていたことを確認しています。さらに、過去に税務関連のフィッシング攻撃でValleyRATを配布した中国系サイバー犯罪グループ「Silver Fox」と、使用するインフラや手法に共通点があると説明しています。
ただし、中国国内のインフラや中国語の管理画面が確認されたことだけで、特定の国家や組織による攻撃と断定することはできません。元記事でも、活動主体は不明であり、確認された類似性を根拠として中国系の攻撃者が関与している可能性が示されるにとどまっています。攻撃の目的については、秘密裏に端末へアクセスし、情報収集、認証情報の窃取、継続的なデータ持ち出しを行うことが想定されています。
関連する分析では、Gh0st RAT派生型の使用も確認されました。Silver Foxの過去の活動では最終ペイロードとしてGh0st RATが使用されており、ValleyRATもGh0st RATを基にしているとされています。こうした共通点は関連性を検討する材料になりますが、攻撃者を確定する証拠ではありません。サイバー攻撃の帰属判断では、マルウェアの種類やサーバーの所在地だけでなく、長期間にわたるインフラ、開発上の特徴、運用時間、標的選定などを総合的に分析する必要があります。
企業の対策においては、攻撃者の所属を突き止めることよりも、確認された侵入経路と端末上の挙動を検知することが優先されます。税務関連のメール、偽サイトからのZIPダウンロード、正規実行ファイルによる不審なDLL読み込み、画像からのペイロード抽出、Windowsサービスの自動登録といった一連の挙動を監視することで、同じ攻撃者に限らず、類似する多段階攻撃にも対応しやすくなります。
日本語話者を狙う関連攻撃にも注意が必要
インドの納税者を標的とした攻撃とは別に、LevelBlueは中国語および日本語を使用する利用者を対象として、ValleyRATを配布する二つの攻撃活動を確認しています。一つは給与改定に関する連絡を装ったフィッシングメールで、本文内のURLを開くとZIPファイルがダウンロードされます。展開後はDLLサイドローディングが行われ、最終的に感染端末を遠隔操作できるValleyRATが実行されます。
もう一つは、広く利用されているソフトウェアの偽インストーラーを用いる手口で、記事ではLINEを装う事例が挙げられています。偽のインストーラーはマルウェアを展開する一方で、利用者からは通常のインストール処理に見える可能性があります。また、PoolParty Variant 7と呼ばれる検出回避技術が使用されているほか、過去の類似キャンペーンではシステムプロセス(explorer.exe)へシェルコードを注入する処理なども確認されています。
同様のコード注入手法は、過去にTelegramやOperaの偽インストーラーを使用し、中国語圏を標的とした別の攻撃でも確認されています。研究者は複数の攻撃活動に技術的な共通点があると指摘していますが、同一の攻撃者が作成したと断定できる証拠は確認されていません。そのため、各活動の関係性については慎重に評価する必要があります。
国内企業では、チャットツールやブラウザーなどの業務用ソフトウェアを従業員が自由にダウンロードする運用を見直すことが重要です。ソフトウェアの配布元を企業側で指定し、正規サイトのURLを社内ポータルなどで案内することで、検索広告や偽サイトから不正なインストーラーを取得する危険を減らせます。また、給与や税務に関する通知は開封率が高くなりやすいため、人事・経理部門を対象とした訓練や注意喚起を継続し、緊急性を強調する連絡ほど送信元を別経路で確認する運用が求められます。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









