Microsoft a découvert un ongoing phishing campaign ciblage visant les hôtels et les entreprises hôtelières à travers l’Europe et l’Asie, où des attaquants se font passer pour des clients afin de tromper leurs employés afin qu’ils installent des logiciels malveillants offrant un accès à long terme à des systèmes compromis.
Selon Microsoft Threat Intelligence, la campagne est active depuis avril 2026 et cible principalement le personnel de réception, d’accueil et de réservation avec des e-mails convaincants concernant les demandes de réservation, les plaintes des clients, la perte d’effets personnels et les problèmes de chambre. Les messages sont conçus pour ressembler à une correspondance d’invité légitime, augmentant ainsi la probabilité que les employés ouvrent les fichiers joints.
Plutôt que d’attacher des logiciels malveillants traditionnels, les attaquants envoient des liens via des services de confiance tels que Calendly et l’infrastructure de redirection de Google. Ces techniques aident les emails à passer les contrôles d’authentification courants, notamment SPF, DKIM et DMARC, les rendant plus légitimes aux yeux des utilisateurs et des systèmes de sécurité des emails.
Les victimes qui téléchargent l’archive « Photo.zip » jointe se voient présenter ce qui semble être un fichier image. En réalité, l’archive contient un raccourci malveillant de Windows (. LNK) déguisée en photo. L’ouverture du fichier déclenche une chaîne d’infection à plusieurs étapes qui installe finalement un implant Node.js persistant sur l’ordinateur de la victime.
Microsoft a indiqué que le malware est conçu pour assurer une persistance à long terme tout en évitant la détection. Une fois installé, il modifie les paramètres de Microsoft Defender, télécharge des charges utiles supplémentaires, crée des mécanismes de persistance et commence à communiquer avec les serveurs de commande et de contrôle. Les chercheurs ont également observé que le malware collectait des informations système, lançait des sessions de navigateur sans interface et, dans certains cas, forçait des systèmes à s’arrêter de manière inattendue.
L’entreprise n’a pas attribué la campagne à un acteur malveillant connu, et l’objectif final des attaquants reste incertain. Cependant, Microsoft estime que l’activité observée est cohérente avec une phase de reconnaissance qui pourrait précéder le vol d’identifiants, le déploiement de ransomwares ou d’autres attaques ultérieures.
Les chercheurs recommandent de se concentrer sur les indicateurs comportementaux plutôt que de se fier uniquement aux signatures de malwares connues. Les signes d’alerte incluent une activité PowerShell inattendue, des processus Node.js s’exécutant depuis des répertoires de profils utilisateurs, des modifications suspectes des exclusions Microsoft Defender, des exécutables lancés depuis des dossiers temporaires, des modifications inhabituelles du registre et des connexions sortantes vers des domaines .cfd nouvellement enregistrés via des ports non standard.
La campagne met en lumière une tendance croissante d’attaquants ciblant le secteur de l’hôtellerie via des e-mails de phishing très personnalisés. Les hôtels reçoivent régulièrement des messages de clients potentiels, rendant le personnel de réservation particulièrement vulnérable aux tentatives d’ingénierie sociale déguisées en communications clients de routine.
Microsoft conseille aux organisations hôtelières de former les employés à vérifier les pièces jointes inattendues par email, à restreindre l’exécution des raccourcis, à surveiller toute activité suspecte sur PowerShell et Node.js, et à s’assurer que les outils de détection des points de terminaison sont configurés pour identifier les anomalies comportementales plutôt que de se fier exclusivement à des signatures basées sur des fichiers.