
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Sektor hotelarski od lat pozostaje atrakcyjnym celem dla cyberprzestępców. Hotele przetwarzają dane osobowe gości, informacje o płatnościach, dane rezerwacyjne oraz obsługują intensywną komunikację e-mailową z klientami i partnerami. To sprawia, że nawet pozornie rutynowa wiadomość dotycząca opinii, reklamacji lub rezerwacji może stać się skutecznym nośnikiem ataku.
Najnowsza kampania wymierzona w obiekty hotelowe w Japonii pokazuje, że klasyczny phishing ewoluuje w stronę bardziej zaawansowanych operacji. Atakujący podszywali się pod Booking.com, a do ukrywania infrastruktury dowodzenia i kontroli wykorzystywali elementy blockchaina TON. Taki model działania utrudnia wykrywanie, analizę incydentu i szybkie blokowanie komunikacji malware.
W skrócie
- Atak był wymierzony w pracowników hoteli i wykorzystywał wiadomości phishingowe nawiązujące do codziennej obsługi gości.
- Celem było uruchomienie złośliwego pliku prowadzącego do infekcji malware określanym jako TONResolver lub TonRAT.
- Napastnicy wykorzystywali blockchain TON do dynamicznego ustalania informacji potrzebnych do komunikacji z serwerami C2.
- Kampania utrudnia tradycyjne metody blokowania oparte wyłącznie na domenach i adresach IP.
Kontekst / historia
Phishing w branży hospitality nie jest nowym zjawiskiem. Przestępcy regularnie podszywają się pod platformy rezerwacyjne, operatorów płatności, dostawców usług lub samych gości. Środowisko hotelowe sprzyja skuteczności takich działań, ponieważ personel działa pod presją czasu i codziennie przetwarza dużą liczbę wiadomości, które często dotyczą zmian rezerwacji, skarg lub próśb o pilną odpowiedź.
W opisywanej kampanii szczególnie istotne jest połączenie socjotechniki z decentralizacją części infrastruktury ataku. Zamiast osadzać adresy C2 bezpośrednio w próbce malware, operatorzy wykorzystywali zasoby powiązane z ekosystemem TON. To wpisuje się w szerszy trend zwiększania odporności operacyjnej kampanii poprzez dynamiczne wskazywanie punktów komunikacyjnych oraz ograniczanie widocznych zależności między kodem szkodnika a infrastrukturą sieciową.
Analiza techniczna
Kampania rozpoczynała się od wiadomości e-mail podszywających się pod komunikację związaną z opiniami gości, reklamacjami lub obsługą rezerwacji. Tego typu przynęty są szczególnie skuteczne w hotelach, ponieważ nie odbiegają od codziennego kontekstu pracy recepcji i działów operacyjnych.
Po uruchomieniu dostarczonego pliku infekcja mogła przechodzić przez kilka etapów. W analizach podobnych incydentów wskazywano na wykorzystanie archiwów, plików skrótów LNK, poleceń PowerShell oraz pobierania kolejnych komponentów z internetu. W dalszej fazie malware korzystał z legalnego środowiska Node.js do uruchomienia właściwego ładunku, co pozwalało napastnikom maskować aktywność jako użycie popularnego narzędzia administracyjnego i ograniczać liczbę niestandardowych binariów.
Najbardziej charakterystycznym elementem był mechanizm rozwiązywania infrastruktury C2 przez odwołanie do zasobów powiązanych z blockchainem TON. W praktyce oznacza to, że wskaźniki kompromitacji nie muszą być trwale zapisane w próbce. Malware może dynamicznie pobierać aktualne informacje o punktach komunikacyjnych, co utrudnia analizę statyczną, blokowanie ruchu i szybkie przejęcie lub wyłączenie zaplecza ataku.
Dodatkowym utrudnieniem dla obrońców może być szyfrowana komunikacja oraz użycie technologii takich jak WebSockety. Bez odpowiedniej telemetrii endpointowej i analizy zachowań ruch taki może pozostać niezauważony przez klasyczne mechanizmy bezpieczeństwa.
- szybka rotacja infrastruktury bez konieczności przebudowy głównego ładunku,
- mniejsza skuteczność detekcji opartych wyłącznie na reputacji domen,
- utrudnione odcięcie kanału C2,
- ograniczenie wartości statycznych wskaźników kompromitacji.
Konsekwencje / ryzyko
Dla hoteli skutki takiej kampanii mogą wykraczać daleko poza pojedynczą zainfekowaną stację roboczą. Przejęcie komputera recepcji lub działu rezerwacji może umożliwić kradzież poświadczeń, przejęcie korespondencji z gośćmi, rozsyłanie kolejnych wiadomości phishingowych z legalnych skrzynek oraz poruszanie się po sieci wewnętrznej.
W zależności od poziomu segmentacji i uprawnień zagrożone mogą być systemy PMS, panele administracyjne, dane osobowe klientów oraz informacje związane z płatnościami. Dodatkowe ryzyko ma charakter reputacyjny: jeśli przestępcy uzyskają dostęp do kanałów komunikacji z gośćmi, mogą wykorzystywać zaufanie do marki hotelu do dalszych oszustw, na przykład fałszywych próśb o dopłatę lub ponowną autoryzację karty.
Z perspektywy zespołów SOC i IR zastosowanie blockchaina do wspierania C2 zwiększa koszt i złożoność reakcji. Tradycyjne playbooki oparte na blokowaniu domen lub adresów IP mogą nie być wystarczające, dlatego organizacje muszą opierać detekcję w większym stopniu na zachowaniach procesów, łańcuchu uruchamiania oraz nietypowych połączeniach sieciowych.
Rekomendacje
Branża hotelarska powinna potraktować tę kampanię jako wyraźny sygnał do wzmocnienia ochrony operacyjnej, pocztowej i endpointowej. Szczególnie istotne jest ograniczenie możliwości uruchamiania nieautoryzowanych skryptów, skrótów oraz środowisk uruchomieniowych wykorzystywanych poza standardowym profilem pracy użytkownika.
- wdrożenie zasad application control oraz blokad dla nieautoryzowanych plików LNK i skryptów PowerShell,
- monitorowanie procesów potomnych uruchamianych z archiwów i katalogów tymczasowych,
- detekcja nietypowego użycia Node.js na stacjach biurowych,
- wzmocnienie ochrony poczty przez SPF, DKIM, DMARC, sandboxing i oznaczanie wiadomości zewnętrznych,
- szkolenia antyphishingowe uwzględniające realne scenariusze z branży hotelarskiej,
- przygotowanie planu reagowania obejmującego izolację stacji, reset poświadczeń, przegląd skrzynek pocztowych i kontrolę komunikacji wychodzącej do klientów.
Podsumowanie
Kampania wymierzona w japońskie hotele pokazuje, że phishing w sektorze hospitality wchodzi na wyższy poziom zaawansowania. Połączenie wiarygodnej socjotechniki, legalnych narzędzi systemowych i zdecentralizowanych mechanizmów wspierających C2 znacząco utrudnia obronę oraz analizę incydentów.
Dla organizacji z branży hotelarskiej oznacza to konieczność odejścia od podejścia opartego wyłącznie na prostych wskaźnikach kompromitacji. Kluczowe stają się detekcje behawioralne, segmentacja środowiska, ochrona kont operacyjnych oraz procedury szybkiej reakcji na nietypowe zdarzenia w obszarze poczty i systemów rezerwacyjnych.
Źródła
- https://www.infosecurity-magazine.com/news/hackers-blockchain-japan-hotels/
- https://socprime.com/active-threats/analysis-of-suspicious-emails-targeting-the-hotel-industry/
- https://socprime.com/pt/active-threats/analise-tecnica-de-emails-suspeitos-alvejando-a-industria-hoteleira/
- https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/
- https://www.microsoft.com/en-us/security/blog/2026/01/06/phishing-actors-exploit-complex-routing-and-misconfigurations-to-spoof-domains/