С апреля 2026 года активная фишинговая кампания атакует гостиничные организации в Европе и Азии, используя архивы с «фотографиями» для доставки JavaScript-импланта на рабочие станции ресепшн и фронт-офиса. По данным Microsoft, кампания эксплуатирует легитимную инфраструктуру Calendly и Google для обхода почтовой аутентификации, а конечная цель операторов до сих пор не установлена — подтверждённых случаев кражи данных или развёртывания шифровальщиков нет. Отсутствие атрибуции к известной группировке и неясность финального этапа делают эту угрозу особенно тревожной для индустрии гостеприимства.
Механизм доставки: «отмывание аутентификации»
Фишинговые письма используют отображаемое имя «Booking Manager (via Calendly)» и эксплуатируют типичные болевые точки гостиничного бизнеса: жалобы гостей, сообщения о клопах, запросы на бронирование, угрозы санитарных инспекций и негативные отзывы. Письма зафиксированы на японском, датском и нидерландском языках, причём японский преобладает. Тема письма не содержит имени получателя или названия объекта — это указывает на массовую рассылку по спискам, а не на целевой фишинг.
Ключевая техническая особенность — то, что Microsoft назвала authentication laundering (отмывание аутентификации). Сообщения маршрутизируются через систему уведомлений Calendly, благодаря чему проходят проверки SPF, DKIM и DMARC: письма действительно отправлены с авторизованной инфраструктуры. Протоколы аутентификации подтверждают, что отправитель имеет право отправлять почту, но ничего не говорят о намерениях сообщения. Это фундаментальный разрыв, который операторы кампании целенаправленно эксплуатируют.
Далее жертва проходит многоступенчатую цепочку перенаправлений: ссылка Calendly → share.google → Google-редирект → свежезарегистрированный домен в зоне .cfd, защищённый Cloudflare. На посадочной странице используется Cloudflare Turnstile, который одновременно выполняет функцию защиты от автоматического анализа.
Цепочка заражения: от ZIP до Node.js-импланта
После прохождения CAPTCHA жертва загружает архив с именем вида photo-<числа>.zip. Внутри находится ярлык Windows, маскирующийся под изображение: в первой волне — IMG-<числа>.png.lnk, во второй — PHOTO-<числа>.png.lnk.
Открытие LNK-файла запускает PowerShell-скрипт, который:
- Использует арифметику BigInt для декодирования скрытого URL загрузки
- Записывает промежуточный .ps1-скрипт в каталог %TEMP%
- Загружает легитимную среду выполнения Node.js v24.13.0 с nodejs.org в пользовательское пространство
- Запускает JavaScript-имплант через загруженный рантайм без необходимости системной установки Node.js
Использование легитимного рантайма — осознанный выбор: бинарный файл Node.js подписан и не вызывает срабатывания антивирусных решений, а вся вредоносная логика сосредоточена в JavaScript-коде.
Имплант TonRAT и инфраструктура управления
Имплант, который в отчётах SOC Prime отслеживается как TonRAT, применяет нестандартный подход к разрешению адресов командных серверов: домены C2 извлекаются через API блокчейна TON, после чего устанавливается зашифрованный канал связи через WebSocket. Динамическое получение адресов C2 делает статические списки блокировки малоэффективными — операторы могут менять инфраструктуру управления, обновляя записи в блокчейне.
После компрометации имплант связывается с фиксированными IP-адресами по нестандартным портам: 8443, 8445, 8453, 5555 и диапазон 56001–56003. На некоторых заражённых хостах зафиксированы дополнительные действия:
- Автоматизация безголового браузера с параметрами
--headless --no-sandbox - Проверка геолокации через ip-api.com
- Принудительное выключение системы командой
cmd /c shutdown -s -t 0
Автоматизация браузера может указывать на подготовку к краже сессий бронирования или учётных данных из веб-интерфейсов систем управления отелем, хотя Microsoft не подтвердила конкретных сценариев эксплуатации.
Контекст и хронология
Кампания была впервые задокументирована примерно за две недели до публикации Microsoft: ITOCHU и SOC Prime описали аналогичную цепочку заражения — от фишинга на гостиничную тематику через LNK-файл к PowerShell и далее к Node.js-импланту. Microsoft подтвердила, что её выводы согласуются с этими отчётами.
Фишинг на тему бронирований, направленный на сотрудников отелей, — устойчивый паттерн в ландшафте угроз. Однако данная кампания выделяется на фоне типичных схем: использование блокчейна для резолвинга C2, развёртывание полноценного рантайма в пользовательском пространстве и двойная персистентность свидетельствуют о более высоком уровне подготовки операторов.
Оценка воздействия
Наибольшему риску подвержены системы ресепшн, бронирования и фронт-офиса гостиничных объектов — именно эти рабочие станции обрабатывают входящие запросы гостей и с наибольшей вероятностью откроют «фото» из жалобы. Компрометация таких систем потенциально открывает доступ к персональным данным гостей, платёжной информации и учётным записям систем управления отелем.
Отсутствие подтверждённого финального этапа атаки не снижает серьёзность угрозы — оно означает, что операторы либо ещё не активировали конечную полезную нагрузку, либо их действия остаются незамеченными. Устойчивый доступ к гостиничным системам может быть монетизирован множеством способов: от кражи данных кредитных карт до продажи доступа другим группировкам.
Рекомендации по обнаружению и устранению
Для полного устранения угрозы необходимо ликвидировать оба механизма закрепления — удаление только одного оставляет второй активным:
- Удалить запись реестра RunOnce, указывающую на каталог ProgramData
- Удалить ключ реестра Run для Node.js
- Удалить рантайм и .js-файлы из каталога
AppData\Local\Nodejs - Проверить наличие исходящих соединений на порты 8443, 8445, 8453, 5555, 56001–56003
- Выявить процессы Node.js, запущенные из пользовательских каталогов, а не из стандартных путей установки
Для превентивной защиты:
- Блокировать выполнение LNK-файлов из ZIP-архивов на уровне политик безопасности
- Настроить мониторинг запуска PowerShell из процессов explorer.exe с аргументами, содержащими BigInt-операции
- Ограничить исходящие соединения к доменам в зоне .cfd и нестандартным портам с рабочих станций фронт-офиса
- Обучить персонал ресепшн и бронирования распознавать фишинг, маскирующийся под уведомления Calendly
Приоритетная проверка должна охватить все рабочие станции ресепшн, бронирования и фронт-офиса на наличие описанных артефактов — именно эти системы являются первичной целью кампании. Учитывая, что письма проходят стандартные проверки почтовой аутентификации, организациям гостиничного сектора следует рассмотреть дополнительные правила фильтрации для входящих уведомлений Calendly, содержащих ссылки с редиректами через Google на домены в зоне .cfd.
