Sinds april 2026 richt een actieve phishing-campagne zich op hotel- en andere horecaorganisaties in heel Europa en Azië, waarbij ZIP-bestanden met een fotothema worden gebruikt om een Node.js-implantaat te laten vallen en in de machines van de receptie te graven, zegt Microsoft.
Het bedrijf heeft de activiteit niet toegeschreven aan een bekende bedreigingsacteur en het einddoel van de exploitanten is nog steeds onduidelijk.
De aantrekkingskracht speelt in op hoe hotels werken. Phishing-e-mails hebben de weergavenaam ‘Booking Manager (via Calendly)’ en verwijzen naar klachten van gasten, bedwantsenplagen, kamervragen, gezondheidsinspecties en verblijfsbeoordelingen.
Het kunstaas was verkrijgbaar in het Japans, Deens en Nederlands, waarbij Japans het meest voorkomt. In de onderwerpregel wordt geen ontvanger of eigenschap vermeld, wat wijst op grootschalige, lijstgestuurde verzending in plaats van op maat gemaakte spearphishing. De druk is reputatiegebonden: klachten, laatste waarschuwingen, bedreigde inspecties.
De levering is het interessante deel. De operators routeren berichten via het e-mailmeldingssysteem van Calendly en de URL-omleidingsservice van Google, een truc die Microsoft noemt authenticatie witwassen. E-mails die via het directe Calendly-pad worden verzonden, passeren SPF, DKIM en DMARC, omdat ze in werkelijkheid worden verzonden vanaf een geautoriseerde infrastructuur.
De controles bevestigen dat de afzender mag verzenden. Ze zeggen niets over waar de boodschap voor is. Een multi-hop-keten leidt het slachtoffer vervolgens van een Calendly-link via share.google en een Google-omleiding naar een nieuw geregistreerd, Cloudflare-fronted .cfd-domein. Dat domein zit achter een Turnstile-uitdaging die ook dienst doet als anti-analyse.
Klik door en het doel downloadt een bestand met de naam photo-
Als u het opent, wordt PowerShell geactiveerd. Het script maakt gebruik van BigInt-rekenkunde om een verborgen download-URL te decoderen, haalt een .ps1 naar %TEMP% en plaatst een legitieme Node.js v24.13.0-runtime van nodejs.org in de gebruikersruimte, die vervolgens het JavaScript-implantaat uitvoert. Er is geen systeembrede Node-installatie nodig.
Het implantaat wordt gevolgd als TonRAT. Het lost zijn C2-domeinen op via de TON blockchain API en opent vervolgens een gecodeerd WebSocket-kanaal, per SOC Prime. Het direct ophalen van domeinen maakt statische blokkeerlijsten minder nuttig.
Na het compromis schakelde het implantaat over naar vaste IP’s via niet-standaard poorten: 8443, 8445, 8453, 5555 en 56001 tot 56003. Sommige hosts toonden ook headless browserautomatisering (–headless –no-sandbox), een ip-api.com geolocatiecontrole en een gedwongen afsluiting via cmd /c shutdown -s -t 0. Microsoft heeft geen bevestigde gegevens gerapporteerd diefstal, ransomware of genoemde slachtoffers.
Volledig herstel moet beide persistentiepaden bereiken: de RunOnce-vermelding die naar ProgramData verwijst en de Node.js Run-sleutel, plus de runtime- en .js-bestanden onder AppDataLocalNodejs. Als je de een trekt, blijft de ander in leven. Receptie, reserveringen en frontofficesystemen zijn de eerste plaatsen waar u moet kijken.
De campagne is niet gloednieuw. SOC Prime en ITOCHU documenteerden ongeveer twee weken eerder dezelfde hotelphishing en de LNK-naar-PowerShell-naar-Node.js-keten, en Microsoft zegt dat hun bevindingen in lijn liggen met die rapportage.
Phishing met een boekingsthema gericht op hotelpersoneel is een terugkerend patroon, waaronder ClickFix-campagnes waarbij PureRAT werd verwijderd om logins van Booking.com te stelen.
Wat geen van de rapporten nog kan beantwoorden, is wat deze operators willen. De toegang is duurzaam, bij het opruimen is het gemakkelijk om fouten te maken en de uiteindelijke lading is nog niet vastgelegd. Dat is genoeg om dit te beschouwen als meer dan de zoveelste phish met boekingsthema.
