Microsoft heeft een ongoing phishing campaign target van hotels en hospitalitybedrijven in Europa en Azië, waar aanvallers zich voordoen als gasten om werknemers te misleiden om malware te installeren die langdurige toegang biedt tot gecompromitteerde systemen.
Volgens Microsoft Threat Intelligence is de campagne sinds april 2026 actief en richt zich vooral op receptie, receptie en reserveringspersoneel met overtuigende e-mails over boekingsvragen, klantklachten, verloren bezittingen en kamerproblemen. De berichten zijn ontworpen om legitieme gastcorrespondentie te lijken, waardoor de kans vergroot dat medewerkers de bijgevoegde bestanden openen.
In plaats van traditionele malware te koppelen, sturen de aanvallers links via vertrouwde diensten zoals Calendly en de redirect-infrastructuur van Google. Deze technieken helpen e-mails om door gangbare authenticatiecontroles te komen, waaronder SPF, DKIM en DMARC, waardoor ze legitiemer lijken voor zowel gebruikers als e-mailbeveiligingssystemen.
Slachtoffers die het bijgevoegde “Photo.zip”-archief downloaden, krijgen wat lijkt op een afbeeldingsbestand. In werkelijkheid bevat het archief een kwaadaardige Windows-snelkoppeling (. LNK) vermomd als foto. Het openen van het bestand start een meerfasige infectieketen die uiteindelijk een persistent Node.js-implantaat op de computer van het slachtoffer installeert.
Microsoft zei dat de malware is ontworpen om langdurige persistenz te vestigen zonder detectie te voorkomen. Eenmaal geïnstalleerd past het de instellingen van Microsoft Defender aan, downloadt het extra payloads, creëert het persistentiemechanismen en begint het te communiceren met command-and-control-servers. Onderzoekers zagen ook dat malware systeeminformatie verzamelde, headless browsersessies startte en in sommige gevallen systemen onverwacht afschakelde.
Het bedrijf heeft de campagne niet toegeschreven aan een bekende dreigingsacteur, en het uiteindelijke doel van de aanvallers blijft onduidelijk. Microsoft gelooft echter dat de waargenomen activiteit consistent is met een verkenningsfase die kan voorafgaan aan inlogdiefstal, ransomware-implementatie of andere vervolgaanvallen.
Onderzoekers raden aan om je te richten op gedragsindicatoren in plaats van uitsluitend te vertrouwen op bekende malwarehandtekeningen. Waarschuwingssignalen zijn onder andere onverwachte PowerShell-activiteit, Node.js processen die draaien vanuit gebruikersprofielmappen, verdachte wijzigingen in Microsoft Defender-uitsluitingen, uitvoerbare bestanden die vanuit tijdelijke mappen worden gestart, ongebruikelijke registerwijzigingen en uitgaande verbindingen naar nieuw geregistreerde .cfd-domeinen via niet-standaard poorten.
De campagne benadrukt een groeiende trend waarbij aanvallers de horecasector targeten via sterk gepersonaliseerde phishing-e-mails. Hotels ontvangen routinematig berichten van potentiële gasten, waardoor reserveringspersoneel bijzonder kwetsbaar is voor social engineering-pogingen die zich vermomd zijn als routinematige klantcommunicatie.
Microsoft adviseert hospitalityorganisaties om medewerkers te trainen in het verifiëren van onverwachte e-mailbijlagen, het beperken van de uitvoering van snelkoppelingsbestanden, het monitoren van verdachte PowerShell- en Node.js activiteit, en ervoor te zorgen dat endpointdetectietools zijn geconfigureerd om gedragsanomalieën te identificeren in plaats van uitsluitend te vertrouwen op bestandsgebaseerde handtekeningen.