Según Microsoft, una campaña activa de phishing ha estado dirigida a hoteles y otras organizaciones hoteleras en Europa y Asia desde abril de 2026, dejando caer implantes Node.js que utilizan archivos ZIP con temas fotográficos para comprometer las máquinas de la recepción.
La compañía no cree que esta actividad sea obra de un actor de amenazas conocido y aún se desconoce el objetivo final del operador.
Esta tentación afecta la forma en que funcionan los hoteles. Los correos electrónicos de phishing tienen el nombre para mostrar «Administrador de reservas (a través de Calendly)» e incluyen información como quejas de huéspedes, infestaciones de chinches, consultas sobre habitaciones, inspecciones sanitarias y reseñas de estadías.
Los señuelos se vendieron en japonés, danés y holandés, siendo el japonés el más común. La línea de asunto no incluye el nombre del destinatario o activo, lo que indica un envío masivo basado en listas en lugar de un intento de phishing personalizado. Ya sea una queja, una advertencia final o la amenaza de una inspección, la presión es reputacional.
La entrega es la parte interesante. Los operadores enrutan mensajes a través del sistema de notificación por correo electrónico de Calendly y el servicio de redireccionamiento de URL de Google. Esta es una técnica que Microsoft llama lavado de autenticación. Los correos electrónicos enviados a través de Direct Path de Calendly en realidad pasan por SPF, DKIM y DMARC porque se envían desde una infraestructura aprobada.
El cheque confirma que el remitente está autorizado a enviar. No dicen nada sobre el propósito del mensaje. Luego, una cadena de múltiples saltos redirige a la víctima a Google desde el enlace de Calendly a través de share.google al dominio .cfd recién registrado con Cloudflare. Este dominio está detrás del desafío de Turnstile, que también funciona como antianálisis.
Cuando haces clic, el objetivo descarga un archivo llamado photo-.zip. En su interior hay atajos disfrazados de imágenes. En la primera ola es IMG-.png.lnk y en la segunda ola es PHOTO-.png.lnk.
Al abrir esto se iniciará PowerShell. Este script utiliza operaciones BigInt para decodificar la URL de descarga oculta, extrae el .ps1 a %TEMP%, coloca el tiempo de ejecución normal de Node.js v24.13.0 desde nodejs.org en el espacio de usuario y ejecuta el implante de JavaScript. No se requiere instalación de nodos en todo el sistema.
Los implantes se rastrean como TonRAT. Resuelva el dominio C2 a través de la API blockchain de TON y abra un canal WebSocket cifrado según SOC Prime. La adquisición de dominios sobre la marcha hace que las listas de bloqueo estáticas sean menos útiles.
Después del compromiso, el implante envió balizas a IP fijas a través de puertos no estándar 8443, 8445, 8453, 5555 y 56001-56003. Algunos hosts también mostraron automatización del navegador sin cabeza (–headless –no-sandbox), comprobaciones de geolocalización de ip-api.com y apagados forzados con cmd /c Shutdown -s -t 0. Microsoft no lo reporta como confirmado. Robo de datos, ransomware o víctimas designadas.
Para una reparación completa, debe acceder a ambas rutas persistentes: la entrada RunOnce que apunta a ProgramData y la clave Ejecutar de Node.js, así como los archivos de tiempo de ejecución y .js ubicados en AppData\Local\Nodejs. Si tiras de uno, el otro seguirá vivo. Los sistemas de recepción, reservas y front office son los primeros lugares a considerar.
Esta campaña no es nueva. SOC Prime e Itochu documentaron el mismo phishing en hoteles y la cadena LNK a PowerShell a Node.js hace aproximadamente dos semanas, y Microsoft dice que sus hallazgos son consistentes con ese informe.
El phishing con temas de reservas dirigido al personal del hotel se ha convertido en un patrón recurrente, como la campaña ClickFix que lanza PureRAT para robar información de inicio de sesión de Booking.com.
Lo que ninguno de los informes responde todavía es lo que quieren estos operadores. El acceso es duradero, la limpieza es falible y la carga útil final no es fija. Esto es suficiente para tratar esto como algo más que otro phishing relacionado con reservas.
Source link
