Una campaña activa de phishing ha estado dirigida a hoteles y otras organizaciones hoteleras en Europa y Asia desde abril de 2026, utilizando archivos ZIP con temas fotográficos para colocar un implante Node.js y profundizar en las máquinas de la recepción, dice Microsoft.
La compañía no ha atribuido la actividad a ningún actor de amenazas conocido y el objetivo final de los operadores aún no está claro.
El atractivo reside en cómo funcionan los hoteles. Los correos electrónicos de phishing llevan el nombre para mostrar “Administrador de reservas (a través de Calendly)” y hacen referencia a quejas de los huéspedes, infestaciones de chinches, consultas sobre habitaciones, inspecciones sanitarias y reseñas de estadías.
Los señuelos venían en japonés, danés y holandés, siendo el japonés el más común. La línea de asunto no menciona ningún destinatario o propiedad, lo que indica un envío de gran volumen basado en listas en lugar de un phishing personalizado. La presión es reputacional: quejas, advertencias finales, amenazas de inspecciones.
La entrega es la parte interesante. Los operadores enrutan mensajes a través del sistema de notificación por correo electrónico de Calendly y el servicio de redireccionamiento de URL de Google, un truco al que Microsoft llama lavado de autenticación. Los correos electrónicos enviados a través de la ruta directa de Calendly pasan por SPF, DKIM y DMARC, porque en realidad se envían desde una infraestructura autorizada.
Los controles confirman que el remitente tiene permiso para enviar. No dicen nada sobre para qué sirve el mensaje. Luego, una cadena de múltiples saltos guía a la víctima desde un enlace de Calendly a través de share.google y una redirección de Google a un dominio .cfd recién registrado y con Cloudflare. Ese dominio se encuentra detrás de un desafío Turnstile que también funciona como antianálisis.
Haga clic y el objetivo descargará un archivo llamado foto-
Al abrirlo se activa PowerShell. El script utiliza aritmética BigInt para decodificar una URL de descarga oculta, extrae un .ps1 a %TEMP% y coloca un tiempo de ejecución legítimo de Node.js v24.13.0 desde nodejs.org en el espacio del usuario, que luego ejecuta el implante de JavaScript. No se necesita ninguna instalación de Node en todo el sistema.
El implante se rastrea como TonRAT. Resuelve sus dominios C2 a través de la API de blockchain de TON y luego abre un canal WebSocket cifrado, según SOC Prime. Obtener dominios sobre la marcha hace que las listas de bloqueo estáticas sean menos útiles.
Después del compromiso, el implante se dirigió a IP fijas a través de puertos no estándar: 8443, 8445, 8453, 5555 y 56001 a 56003. Algunos hosts también mostraron automatización del navegador sin cabeza (–headless –no-sandbox), una verificación de geolocalización de ip-api.com y un apagado forzado mediante cmd /c apagado -s -t 0. Microsoft no ha informado datos confirmados robo, ransomware o víctimas nombradas.
La corrección completa debe afectar a ambas rutas de persistencia: la entrada RunOnce que apunta a ProgramData y la clave Run de Node.js, además de los archivos runtime y .js en AppDataLocalNodejs. Tirar de uno deja al otro vivo. Los sistemas de recepción, reservas y front office son los primeros lugares donde buscar.
La campaña no es nueva. SOC Prime e ITOCHU documentaron el mismo phishing en hoteles y la cadena LNK-to-PowerShell-to-Node.js unas dos semanas antes, y Microsoft dice que sus hallazgos coinciden con esos informes.
El phishing con temas de reservas dirigido al personal del hotel ha sido un patrón recurrente, incluidas las campañas de ClickFix que utilizaron PureRAT para robar los inicios de sesión de Booking.com.
Lo que ninguno de los informes puede responder todavía es lo que quieren estos operadores. El acceso es duradero, es fácil equivocarse en la limpieza y la carga útil final no ha sido fijada. Esto es suficiente para tratar esto como algo más que otro phishing relacionado con reservas.
