Microsoft ha scoperto un ongoing phishing campaign obiettivo di prendere di mira hotel e aziende dell’ospitalità in Europa e Asia, dove gli aggressori si spacciano per gli ospiti per ingannare i dipendenti e fargli installare malware che permetta di garantire accesso a lungo termine a sistemi compromessi.
Secondo Microsoft Threat Intelligence, la campagna è attiva da aprile 2026 e prende principalmente di mira il personale di reception, reception e prenotazioni, con email convincenti riguardanti richieste di prenotazione, reclami di clienti, oggetti smarriti e problemi di camera. I messaggi sono progettati per assomigliare a corrispondenza legittima degli ospiti, aumentando la probabilità che i dipendenti approvino i file allegati.
Invece di collegare malware tradizionali, gli attaccanti inviano link tramite servizi affidabili come Calendly e l’infrastruttura di reindirizzamento di Google. Queste tecniche aiutano le email a superare i controlli di autenticazione comuni, tra cui SPF, DKIM e DMARC, rendendole più legittime sia agli utenti che ai sistemi di sicurezza email.
Le vittime che scaricano l’archivio “Photo.zip” allegato si trovano davanti a quello che sembra essere un file immagine. In realtà, l’archivio contiene una scorciatoia per Windows (. LNK) camuffata da foto. Aprendo il file si avvia una catena di infezione a più stadi che alla fine installa un impianto di Node.js persistente sul computer della vittima.
Microsoft ha affermato che il malware è progettato per garantire una persistenza a lungo termine evitando però il rilevamento. Una volta installato, modifica le impostazioni di Microsoft Defender, scarica payload aggiuntivi, crea meccanismi di persistenza e inizia a comunicare con i server di comando e controllo. I ricercatori hanno anche osservato il malware raccogliere informazioni di sistema, avviare sessioni di browser headless e, in alcuni casi, costringere sistemi a spegnere inaspettatamente.
L’azienda non ha attribuito la campagna a un attore minaccioso noto e l’obiettivo finale degli aggressori rimane poco chiaro. Tuttavia, Microsoft ritiene che l’attività osservata sia coerente con una fase di ricognizione che potrebbe precedere il furto di credenziali, il deployment di ransomware o altri attacchi successivi.
I ricercatori raccomandano di concentrarsi sugli indicatori comportamentali invece di affidarsi esclusivamente alle firme malware note. I segnali di allarme includono attività PowerShell inaspettate, processi Node.js che vengono eseguiti dalle directory dei profili utente, modifiche sospette alle esclusioni di Microsoft Defender, eseguibili avviati da cartelle temporanee, modifiche insolite del registro e connessioni in uscita verso domini .cfd appena registrati tramite porte non standard.
La campagna evidenzia una tendenza crescente di attaccanti che prendono di mira il settore dell’ospitalità tramite email di phishing altamente personalizzate. Gli hotel ricevono regolarmente messaggi da potenziali ospiti, rendendo il personale delle prenotazioni particolarmente vulnerabile a tentativi di ingegneria sociale mascherati da comunicazioni con i clienti di routine.
Microsoft consiglia alle organizzazioni dell’ospitalità di formare i dipendenti a verificare allegati email inaspettati, limitare l’esecuzione di file scorciatoie, monitorare attività sospette di PowerShell e Node.js e garantire che gli strumenti di rilevamento degli endpoint siano configurati per identificare anomalie comportamentali invece di affidarsi esclusivamente a firme basate su file.