Microsoft ha descubierto un ongoing phishing campaign objetivo en hoteles y empresas de hostelería en Europa y Asia, donde los atacantes se hacen pasar por huéspedes para engañar a los empleados y que instalen malware que proporcione acceso a largo plazo a sistemas comprometidos.
Según Microsoft Threat Intelligence, la campaña está activa desde abril de 2026 y se dirige principalmente al personal de recepción, recepción y reservas con correos electrónicos convincentes sobre consultas de reservas, quejas de clientes, pertenencias perdidas y problemas con las habitaciones. Los mensajes están diseñados para parecerse a correspondencia legítima de invitados, aumentando la probabilidad de que los empleados abran los archivos adjuntos.
En lugar de adjuntar malware tradicional, los atacantes envían enlaces a través de servicios de confianza como Calendly y la infraestructura de redirección de Google. Estas técnicas ayudan a que los correos pasen comprobaciones comunes de autenticación, incluyendo SPF, DKIM y DMARC, haciendo que parezcan más legítimos tanto para los usuarios como para los sistemas de seguridad del correo electrónico.
Las víctimas que descargan el archivo adjunto “Photo.zip” se ven con lo que parece ser un archivo de imagen. En realidad, el archivo contiene un acceso directo malicioso de Windows (. LNK) disfrazada de foto. Al abrir el archivo, se activa una cadena de infección en varias etapas que finalmente instala un implante de Node.js persistente en el ordenador de la víctima.
Microsoft afirmó que el malware está diseñado para establecer una persistencia a largo plazo evitando ser detectado. Una vez instalado, modifica la configuración de Microsoft Defender, descarga cargas útiles adicionales, crea mecanismos de persistencia y comienza a comunicarse con servidores de comando y control. Los investigadores también observaron que el malware recopilaba información del sistema, iniciaba sesiones de navegador sin interfaz y, en algunos casos, forzaba el apagado inesperado de los sistemas.
La empresa no ha atribuido la campaña a un actor amenazante conocido, y el objetivo final de los atacantes sigue sin estar claro. Sin embargo, Microsoft considera que la actividad observada es coherente con una fase de reconocimiento que podría preceder al robo de credenciales, el despliegue de ransomware u otros ataques posteriores.
Los investigadores recomiendan centrarse en indicadores de comportamiento en lugar de depender únicamente de firmas de malware conocidas. Las señales de advertencia incluyen actividad inesperada de PowerShell, procesos Node.js que se ejecutan desde directorios de perfiles de usuario, cambios sospechosos en exclusiones de Microsoft Defender, ejecutables lanzados desde carpetas temporales, modificaciones inusuales en el registro y conexiones salientes a dominios .cfd recién registrados a través de puertos no estándar.
La campaña pone de manifiesto una tendencia creciente de atacantes que apuntan al sector de la hostelería mediante correos electrónicos de phishing altamente personalizados. Los hoteles reciben rutinariamente mensajes de posibles huéspedes, lo que hace que el personal de reservas sea especialmente vulnerable a intentos de ingeniería social disfrazados de comunicaciones rutinarias con los clientes.
Microsoft aconseja a las organizaciones de hostelería formar a los empleados para verificar los archivos adjuntos inesperados de correos, restringir la ejecución de archivos de acceso directo, monitorizar la presencia de actividad sospechosa de PowerShell y Node.js, y asegurarse de que las herramientas de detección de endpoints estén configuradas para identificar anomalías de comportamiento en lugar de depender exclusivamente de firmas basadas en archivos.