Seit April 2026 wird eine aktive Phishing-Kampagne beobachtet, die Hotelorganisationen in Europa und Asien angreift und Archive mit „Fotos“ nutzt, um ein JavaScript-Implantat auf den Arbeitsstationen von Rezeption und Frontoffice zu platzieren. Nach Angaben von Microsoft missbraucht die Kampagne legitime Infrastruktur von Calendly und Google, um die E-Mail-Authentifizierung zu umgehen. Das Endziel der Operatoren ist bislang nicht geklärt – bestätigte Fälle von Datendiebstahl oder der Verteilung von Ransomware sind bisher nicht bekannt. Das Fehlen einer Zuordnung zu einer bekannten Gruppe und die Unklarheit über die finale Phase machen diese Bedrohung für die Hospitality-Branche besonders beunruhigend.
Liefermechanismus: „Authentication Laundering“
Die Phishing-E-Mails verwenden den Anzeigenamen „Booking Manager (via Calendly)“ und greifen typische Pain Points des Hotelgewerbes auf: Gästebeschwerden, Meldungen über Bettwanzen, Buchungsanfragen, Drohungen mit Hygieneinspektionen und negative Bewertungen. Die Nachrichten wurden in japanischer, dänischer und niederländischer Sprache beobachtet, wobei Japanisch dominiert. Die Betreffzeile enthält weder den Namen des Empfängers noch des Objekts – das weist auf Massenversand anhand von Listen hin und nicht auf gezieltes Spear-Phishing.
Die zentrale technische Besonderheit ist das, was Microsoft als authentication laundering (Reinwaschen der Authentifizierung) bezeichnet. Die Nachrichten werden über das Benachrichtigungssystem von Calendly geroutet und bestehen dadurch SPF-, DKIM- und DMARC-Prüfungen: Die E-Mails werden tatsächlich über autorisierte Infrastruktur versendet. Authentifizierungsprotokolle bestätigen, dass der Absender berechtigt ist, E-Mails zu verschicken, sagen jedoch nichts über die Absichten der Nachricht aus. Diese grundlegende Lücke wird von den Betreibern der Kampagne gezielt ausgenutzt.
Anschließend durchläuft das Opfer eine mehrstufige Weiterleitungskette: Calendly-Link → share.google → Google-Redirect → frisch registrierte Domain in der Zone .cfd, geschützt durch Cloudflare. Auf der Zielseite wird Cloudflare Turnstile eingesetzt, das gleichzeitig als Schutz gegen automatisierte Analyse dient.
Infektionskette: von ZIP zum Node.js-Implantat
Nach Bestehen des CAPTCHA lädt das Opfer ein Archiv mit einem Namen nach dem Muster photo-<Zahlen>.zip herunter. Darin befindet sich eine Windows-Verknüpfung, die sich als Bild tarnt: in der ersten Welle IMG-<Zahlen>.png.lnk, in der zweiten PHOTO-<Zahlen>.png.lnk.
Das Öffnen der LNK-Datei startet ein PowerShell-Skript, das:
- BigInt-Arithmetik verwendet, um die versteckte Download-URL zu dekodieren
- ein temporäres .ps1-Skript im Verzeichnis %TEMP% ablegt
- die legitime Laufzeitumgebung Node.js v24.13.0 von nodejs.org in den Benutzerkontext herunterlädt
- das JavaScript-Implantat über die geladene Runtime ausführt, ohne dass Node.js systemweit installiert sein muss
Der Einsatz einer legitimen Runtime ist eine bewusste Entscheidung: Die Node.js-Binärdatei ist signiert und löst keine Erkennungen durch Antivirenlösungen aus, während die gesamte schädliche Logik im JavaScript-Code konzentriert ist.
TonRAT-Implantat und Command-&-Control-Infrastruktur
Das Implantat, das in den Berichten von SOC Prime als TonRAT verfolgt wird, verwendet einen unkonventionellen Ansatz zur Auflösung der Adressen der Command-&-Control-Server: Die C2-Domains werden über das API der TON-Blockchain abgerufen, anschließend wird ein verschlüsselter Kommunikationskanal über WebSocket aufgebaut. Die dynamische Beschaffung der C2-Adressen macht statische Blocklisten weitgehend wirkungslos – die Betreiber können ihre C2-Infrastruktur durch Aktualisierung der Blockchain-Einträge jederzeit wechseln.
Nach der Kompromittierung verbindet sich das Implantat mit festen IP-Adressen über unübliche Ports: 8443, 8445, 8453, 5555 sowie den Bereich 56001–56003. Auf einigen kompromittierten Hosts wurden zusätzliche Aktivitäten festgestellt:
- Automatisierung eines Headless-Browsers mit den Parametern
--headless --no-sandbox - Abfrage der Geolokation über ip-api.com
- Erzwungenes Herunterfahren des Systems mit dem Befehl
cmd /c shutdown -s -t 0
Die Browserautomatisierung könnte darauf hindeuten, dass Sitzungscookies von Buchungssystemen oder Zugangsdaten aus webbasierten Hotelmanagement-Oberflächen ausgespäht werden sollen, auch wenn Microsoft keine konkreten Ausnutzungsszenarien bestätigt hat.
Kontext und Chronologie
Die Kampagne wurde erstmals etwa zwei Wochen vor der Veröffentlichung von Microsoft dokumentiert: ITOCHU und SOC Prime beschrieben eine ähnliche Infektionskette – von Phishing mit Hotelbezug über eine LNK-Datei zu PowerShell und anschließend zu einem Node.js-Implantat. Microsoft bestätigte, dass die eigenen Erkenntnisse mit diesen Berichten übereinstimmen.
Phishing rund um Buchungsthemen, das sich gegen Hotelmitarbeitende richtet, ist ein etabliertes Muster in der Bedrohungslandschaft. Diese Kampagne hebt sich jedoch deutlich von typischen Szenarien ab: Der Einsatz einer Blockchain zur Auflösung der C2-Adressen, das Ausrollen einer vollständigen Runtime im Benutzerkontext und eine doppelte Persistenz deuten auf ein erhöhtes Professionalitätsniveau der Betreiber hin.
Bewertung der Auswirkungen
Am stärksten gefährdet sind Systeme für Rezeption, Buchung und Frontoffice von Hotelbetrieben – genau diese Arbeitsstationen bearbeiten eingehende Gästeanfragen und öffnen mit hoher Wahrscheinlichkeit die „Fotos“ aus Beschwerden. Die Kompromittierung solcher Systeme eröffnet potenziell den Zugang zu personenbezogenen Gästedaten, Zahlungsinformationen und Accounts von Hotelmanagementsystemen.
Das Fehlen einer bestätigten finalen Angriffsphase mindert die Schwere der Bedrohung nicht – es bedeutet lediglich, dass die Operatoren entweder die End-Payload noch nicht aktiviert haben oder ihre Aktivitäten bislang unentdeckt bleiben. Dauerhafter Zugang zu Hotelsystemen lässt sich auf vielfältige Weise monetarisieren: von der Entwendung von Kreditkartendaten bis zum Weiterverkauf des Zugangs an andere Gruppen.
Empfehlungen zu Erkennung und Entfernung
Für eine vollständige Beseitigung der Bedrohung müssen beide Persistenzmechanismen entfernt werden – die Löschung nur eines Mechanismus lässt den anderen aktiv:
- Löschen des RunOnce-Registry-Eintrags, der auf das ProgramData-Verzeichnis verweist
- Entfernen des Registry-Schlüssels Run für Node.js
- Löschen der Runtime und der .js-Dateien aus dem Verzeichnis
AppData\Local\Nodejs - Prüfung auf ausgehende Verbindungen zu den Ports 8443, 8445, 8453, 5555, 56001–56003
- Identifikation von Node.js-Prozessen, die aus Benutzerverzeichnissen und nicht aus Standard-Installationspfaden gestartet wurden
Für präventiven Schutz:
- Blockieren der Ausführung von LNK-Dateien aus ZIP-Archiven auf Ebene der Sicherheitsrichtlinien
- Einrichtung eines Monitorings für PowerShell-Starts aus explorer.exe mit Argumenten, die BigInt-Operationen enthalten
- Einschränkung ausgehender Verbindungen zu Domains in der Zone .cfd und zu unüblichen Ports von Frontoffice-Arbeitsstationen
- Schulung des Personals an Rezeption und Buchung zur Erkennung von Phishing, das sich als Calendly-Benachrichtigung tarnt
Die vorrangige Überprüfung sollte sämtliche Arbeitsstationen von Rezeption, Buchung und Frontoffice auf die beschriebenen Artefakte umfassen – genau diese Systeme sind das primäre Ziel der Kampagne. Da die E-Mails die üblichen Authentifizierungsprüfungen durchlaufen, sollten Organisationen im Hotel- und Gastgewerbe zusätzliche Filterregeln für eingehende Calendly-Benachrichtigungen in Betracht ziehen, die Links mit Weiterleitungen über Google auf Domains in der Zone .cfd enthalten.
