Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft ostrzegł przed aktywną kampanią phishingową wymierzoną w organizacje z sektora hotelarskiego i hospitality w Europie oraz Azji. Atak wykorzystuje wiadomości e-mail podszywające się pod komunikację operacyjną związaną z rezerwacjami, reklamacjami gości i kontrolami obiektów. Celem kampanii jest dostarczenie wieloetapowego łańcucha infekcji, który kończy się uruchomieniem implantu Node.js na stacjach roboczych pracowników.
W skrócie
Kampania trwa co najmniej od kwietnia 2026 roku i bazuje na socjotechnice dopasowanej do realiów pracy recepcji, działów rezerwacji oraz obsługi gości. Wiadomości prowadzą do pobrania archiwów ZIP zawierających plik LNK podszywający się pod obraz PNG. Po jego uruchomieniu wykonywany jest PowerShell, który pobiera kolejne komponenty, instaluje lokalnie środowisko Node.js i uruchamia implant określany jako TonRAT.
- Przynęty odnoszą się do rezerwacji, skarg i zdjęć od gości.
- Łańcuch infekcji wykorzystuje plik .png.lnk do ukrycia rzeczywistego charakteru załącznika.
- Malware może działać bez systemowej instalacji Node.js i bez uprawnień administratora.
- Komunikacja C2 ma charakter dynamiczny i utrudnia klasyczne blokowanie IOC.
Kontekst / historia
Branża hotelarska od lat pozostaje atrakcyjnym celem dla cyberprzestępców. Wynika to z dużej liczby wiadomości od klientów, presji operacyjnej oraz konieczności szybkiego reagowania na reklamacje, pytania i incydenty związane z pobytem. Przestępcy regularnie wykorzystują wątki rezerwacyjne, fałszywe opinie, zgłoszenia sanitarne czy skargi dotyczące jakości usług, aby skłonić personel do natychmiastowej reakcji.
W analizowanej kampanii przynęty przygotowano w kilku językach, między innymi japońskim, duńskim i niderlandzkim. Sugeruje to szeroką, zautomatyzowaną dystrybucję, a nie wyłącznie punktowe ataki na pojedyncze obiekty. To ważny sygnał dla całego sektora hospitality, ponieważ wskazuje na operację nastawioną na skalę i wysoką skuteczność socjotechniczną.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wiadomości e-mail wykorzystujących nazwy nadawców sugerujące kontakt związany z zarządzaniem rezerwacją lub zgłoszeniem klienta. Istotnym elementem operacji jest użycie legalnych usług pośredniczących w wysyłce i przekierowaniu ruchu. Takie podejście utrudnia wykrycie kampanii na poziomie tradycyjnych kontroli poczty, ponieważ wiadomości mogą przechodzić standardowe mechanizmy uwierzytelniania, takie jak SPF, DKIM i DMARC.
Po kliknięciu odbiorca trafia do wieloetapowego łańcucha przekierowań, który finalnie prowadzi do domeny przygotowanej przez operatorów kampanii. Dodatkowo zastosowano warstwy utrudniające analizę, w tym mechanizmy ograniczające automatyczne skanowanie i działanie sandboxów.
Pobrany plik ma postać archiwum ZIP, zwykle opisanego jako zestaw zdjęć. Wewnątrz znajduje się plik LNK udający obraz, na przykład poprzez nazwę z rozszerzeniem „.png.lnk”. To klasyczna technika maskowania, która wykorzystuje przyzwyczajenie użytkowników do otwierania plików graficznych bez dodatkowej weryfikacji.
Uruchomienie skrótu inicjuje PowerShell, który dekoduje ukryty adres pobrania, zapisuje dodatkowy skrypt w katalogu tymczasowym użytkownika i pobiera lokalną kopię środowiska Node.js. Dzięki temu malware nie wymaga wcześniejszej obecności Node.js w systemie ani instalacji z uprawnieniami administratora. To znacząco zwiększa skuteczność kampanii na stacjach roboczych o ograniczonych uprawnieniach.
Końcowym komponentem jest implant JavaScript identyfikowany jako TonRAT. Z dostępnych analiz wynika, że wykorzystuje on mechanizmy rozwiązywania domen command-and-control powiązane z ekosystemem TON, a następnie zestawia szyfrowany kanał WebSocket. Taka architektura utrudnia blokowanie komunikacji wyłącznie na podstawie statycznych wskaźników kompromitacji.
Po kompromitacji obserwowano również komunikację z określonymi adresami IP przez niestandardowe porty, między innymi 8443, 8445, 8453, 5555 oraz z zakresu 56001–56003. Na części hostów widoczne były dodatkowe działania, takie jak uruchamianie przeglądarek w trybie headless, sprawdzanie geolokalizacji systemu oraz wymuszanie wyłączenia komputera. Może to wskazywać na etapowe przygotowanie środowiska, aktywną kontrolę hosta lub próby utrudniania analizy incydentu.
Na uwagę zasługuje także trwałość infekcji. Opisane mechanizmy persistence obejmują więcej niż jeden sposób autostartu, w tym wpisy w Run i RunOnce, a także pliki Node.js oraz skrypty JavaScript przechowywane w katalogach użytkownika. Oznacza to, że usunięcie pojedynczego komponentu może nie wystarczyć do pełnej remediacji.
Konsekwencje / ryzyko
Największe ryzyko dotyczy stanowisk front-desk, recepcji, rezerwacji i obsługi klienta, ponieważ to właśnie tam najczęściej przetwarza się wiadomości związane z pobytem gości. Kompromitacja takich systemów może otworzyć drogę do dalszej penetracji środowiska organizacji.
Choć publicznie nie potwierdzono ostatecznego celu operatorów, obecność trwałego implantu, szyfrowanej komunikacji C2 oraz wieloetapowego łańcucha dostarczenia wskazuje na wysokie ryzyko dalszych działań po uzyskaniu dostępu. W praktyce może to oznaczać kradzież danych, przejęcie kont wewnętrznych, rozpoznanie sieci, nadużycia finansowe, a w dalszej kolejności wdrożenie dodatkowych ładunków, takich jak stealery lub ransomware.
Dla organizacji hotelarskich zagrożenie ma również wymiar biznesowy. Incydent na systemie obsługi gości może prowadzić do zakłóceń operacyjnych, utraty zaufania klientów, problemów z ochroną danych osobowych oraz kosztów związanych z obsługą naruszenia i odtwarzaniem środowiska.
Rekomendacje
Organizacje powinny potraktować tę kampanię jako przykład zaawansowanego phishingu, który omija klasyczne kontrole reputacyjne poczty. Ochrona musi obejmować nie tylko warstwę e-mail, ale również zachowanie procesów i aktywność użytkownika na stacjach roboczych.
- Wzmocnić ochronę endpointów personelu recepcji, rezerwacji i back office.
- Blokować lub ściśle monitorować uruchamianie plików LNK pobranych z poczty i Internetu.
- Ograniczyć użycie PowerShell oraz wdrożyć polityki Constrained Language Mode tam, gdzie to możliwe.
- Monitorować nietypowe uruchomienia lokalnych kopii Node.js w katalogach użytkownika.
- Wykrywać tworzenie nowych wpisów autostartu w Run i RunOnce.
- Inspekcjonować ruch wychodzący do niestandardowych portów i domen pochodzących z przekierowań.
- Zaktualizować reguły EDR/XDR o zachowania charakterystyczne dla łańcucha LNK → PowerShell → Node.js → implant JavaScript.
- Prowadzić szkolenia dotyczące wiadomości o reklamacjach, zdjęciach, kontrolach sanitarnych i pilnych skargach gości.
- Wdrożyć procedury potwierdzania nietypowych zgłoszeń poza kanałem e-mail przed otwarciem załącznika lub linku.
W ramach response i threat huntingu warto przejrzeć systemy pod kątem archiwów ZIP o tematyce fotograficznej, plików „.png.lnk”, skryptów PowerShell zapisywanych w katalogach tymczasowych oraz nieautoryzowanych instalacji Node.js w profilach użytkowników. Szczególną uwagę należy zwrócić na hosty działów operacyjnych hotelu, które regularnie kontaktują się z klientami.
Podsumowanie
Ostrzeżenie Microsoftu pokazuje, że skuteczny phishing nie musi opierać się na exploitach ani jawnie złośliwej infrastrukturze. W tej kampanii operatorzy połączyli wiarygodną narrację biznesową, legalne usługi pośredniczące, maskowanie plików LNK oraz implant oparty na Node.js, tworząc łańcuch ataku trudniejszy do wykrycia przez tradycyjne filtry.
Dla branży hotelarskiej to wyraźny sygnał, że ochrona poczty musi być uzupełniona analizą behawioralną endpointów, kontrolą wykonywania skryptów oraz precyzyjnym monitoringiem procesów uruchamianych z przestrzeni użytkownika. Nawet jeśli końcowy cel kampanii nie został jeszcze jednoznacznie określony, poziom trwałości infekcji i sposób ukrycia infrastruktury uzasadniają traktowanie tej operacji jako poważnego zagrożenia operacyjnego.
Źródła
- Microsoft Warns of Photo ZIP Phishing Campaign Targeting Hotels with Node.js Implant — https://thehackernews.com/2026/06/microsoft-warns-of-photo-zip-phishing.html
- SOC Prime — analiza kampanii TonRAT i łańcucha LNK/PowerShell/Node.js — https://socprime.com/
- Node.js — oficjalna dokumentacja środowiska uruchomieniowego — https://nodejs.org/