Microsoft Threat Intelligence ha detectado desde abril una campaña de ciberataques dirigida al sector hotelero y de alojamiento en Asia y Europa, según un informe de la compañía. Los atacantes distribuyen archivos .zip con nombres de fotos que contienen accesos directos disfrazados de imágenes. Al ejecutarlos, se inicia una cadena de ataque basada en PowerShell ofuscado que instala un implante en Node.js, se ancla en el registro de Windows para mantener la persistencia y se comunica con servidores de comando y control (C2) a través de puertos no estándar. Microsoft no ha atribuido la campaña a ningún grupo identificado ni ha determinado el objetivo final, aunque considera probables actividades de seguimiento en los sistemas comprometidos.
Los agresores han empleado en mayo servicios legítimos como la plataforma Calendly y el redireccionador de URL de Google para enviar correos de phishing, una técnica que los investigadores denominan "lavado de autenticación". Los mensajes, plurilingües, suplantaban quejas de huéspedes y solicitudes de reserva para inducir a los empleados del sector a abrir enlaces y archivos dañinos. La segunda oleada, con archivos "PHOTO.png.lnk", es más sofisticada: compila dinámicamente una DLL en .NET mediante "csc.exe" y amplía la infraestructura C2 a dominios ".cfd" protegidos por Cloudflare. El aviso coincide con un repunte de intentos de fraude contra clientes hoteleros y con incidentes recientes en Best Western y Booking.com.
