Se gestisci un hotel o lavori nella ristorazione, devi sapere che gli attacchi informatici si stanno evolvendo per essere meno evidenti. Una nuova campagna di phishing, attiva da aprile 2026, colpisce specificamente gli hotel in Europa e Asia, utilizzando tecniche sofisticate per ingannare il personale. Microsoft ha scoperto che gli aggressori usano link di Calendly e redirect di Google per inviare archivi ZIP che contengono file apparentemente innocui. Non aprire mai archivi ZIP da email sconosciute e verifica sempre l’autenticità del mittente prima di cliccare su qualsiasi link. Queste due azioni semplici sono il modo più veloce e efficace per proteggersi da questi attacchi nascosti e pericolosi.
La campagna di phishing si distingue per la sua sofisticazione tecnica. Gli aggressori non inviavano email dirette, ma sfruttavano servizi legittimi come Calendly e Google per bypassare i filtri di sicurezza. Hanno utilizzato l’infrastruttura di notifica email di Calendly e la funzione di redirect URL di Google, una tecnica che Microsoft ha chiamato “laundry di autenticazione”. In pratica, i messaggi di phishing passano attraverso servizi fidati, rendendoli simili a notifiche legittime e permettendo agli aggressori di superare i controlli SPF, DKIM e DMARC. Gli hotel sono vulnerabili perché ricevono molte email di prenotazioni, reclami e richieste di ospiti, e gli aggressori hanno creato messaggi con titoli come “reclami degli ospiti” o “richieste di informazioni sulle camere” per ingannare il personale.
Il processo di attacco è complesso e multi-hop. Quando un utente clicca sul link di Calendly, non viene portato direttamente al malware. Invece, viene inviato attraverso una catena di quattro passaggi: il primo porta a share.google, poi a un redirect di Google, e infine a un dominio .cfd appena registrato, protetto da Cloudflare e da un challenge di Turnstile che verifica se l’utente è umano. Questo serve come meccanismo anti-analisi e geo-gating. Solo dopo superare questo challenge, l’utente scarica l’archivio ZIP chiamato “photo-.zip”. Dentro c’è un file LNK che si presenta come un’immagine, come “IMG-.png.lnk” o “PHOTO-.png.lnk”. Quando l’utente apre questo file, si attiva PowerShell, che decodifica un URL di download nascosto usando l’aritmetica BigInt. Poi scarica un file .ps1 in %TEMP% e installa un runtime Node.js v24.13.0 da nodejs.org, senza bisogno di un’installazione di sistema. Questo runtime esegue l’impianto JavaScript, che è TonRAT.
TonRAT è un malware persistente che si installa in modo silenzioso. Si connette ai domini C2 attraverso l’API blockchain TON, il che rende difficile bloccarlo con liste statiche. Poi apre un canale WebSocket criptato per comunicare con gli aggressori. Dopo la compromissione, TonRAT si beaconsa a IP fissi su porte non standard, come 8443, 8445, 8453, 5555 e 56001-56003. Questo permette agli aggressori di mantenere l’accesso per azioni future, come ransomware o furto di dati. Microsoft non ha confermato furto di dati o ransomware, ma l’operatore investe in obfuscazione, persistenza e evasione di consegna per mantenere l’accesso.
La persistenza di TonRAT è doppia. Si installa attraverso l’entry RunOnce che punta a ProgramData e attraverso la chiave Run di Node.js. Se rimuovi solo uno, l’altro rimane attivo. Per una rimozione completa, devi eliminare entrambi i percorsi, il runtime e i file .js sotto AppData\Local\Nodejs. I sistemi di reception, prenotazioni e ufficio frontale sono i primi luoghi da controllare. Microsoft ha notato che gli aggressori hanno anche aggiunto esclusioni di processo per Microsoft Defender e hanno posizionato payload in Temp e ProgramData. In alcuni casi, hanno compilato dinamicamente DLL .NET tramite csc.exe e cvtres.exe.
TonRAT comunica su WebSocket criptati e usa l’API blockchain TON per risolvere i domini C2. Questo rende difficile bloccarlo con liste statiche. Gli aggressori hanno anche osservato browser automation, ricerche di geolocalizzazione tramite ip-api.com e comandi di shutdown forzato. La campagna ha evoluta in multiple wave, mantenendo la stessa infrastruttura e tradecraft. In alcune wave, hanno cambiato i nomi dei file LNK con prefisso PHOTO, compilato dinamicamente DLL .NET e usato domini .cfd frontati da Cloudflare.
Microsoft non ha attribuito l’attività a un threat actor noto, ma l’operatore è impegnato in obfuscazione, persistenza e evasione di consegna. La campagna è attiva da aprile 2026 e ha evoluta in multiple wave. Gli aggressori hanno usato link di Calendly e redirect di Google per distribuire archivi ZIP contenenti file LNK che lanciano PowerShell e installano TonRAT. Questo è un attacco multi-stage che mira agli hotel e alle organizzazioni della ristorazione in Europa e Asia.
Technical Deep Dive
Per gli utenti tecnici, ecco i dettagli avanzati dell’attacco. La catena di delivery è composta da quattro passaggi: Step 1: calendly[.]com/url?q=hxxps://share[.]google/TOKEN → HTTP 302; Step 2: share[.]google/TOKEN → HTTP 302; Step 3: www.google[.]com/share_google?q=TOKEN → HTTP 301; Step 4: photo-[.]cfd → Phishing landing page con challenge di Cloudflare Turnstile. I domini .cfd sono appena registrati, come photo-26654[.]cfd, che era 17 giorni vecchio al momento dell’analisi. Sono frontati da Cloudflare e protetti da un challenge Turnstile che serve come anti-analisi e geo-gating.
Il file LNK interno è un shortcut che si presenta come un’immagine, come IMG-.png.lnk o PHOTO-.png.lnk. Quando aperto, si attiva PowerShell, che usa l’aritmetica BigInt per decodificare un URL di download nascosto. Poi scarica un file .ps1 in %TEMP% e installa un runtime Node.js v24.13.0 da nodejs.org, senza bisogno di un’installazione di sistema. Questo runtime esegue l’impianto JavaScript, che è TonRAT.
TonRAT si installa in modo persistente attraverso HKCU\Run e HKCU\RunOnce, aggiunge esclusioni di processo per Microsoft Defender e posiziona payload in Temp e ProgramData. In alcuni casi, compila dinamicamente DLL .NET tramite csc.exe e cvtres.exe. Si connette ai domini C2 attraverso l’API blockchain TON, il che rende difficile bloccarlo con liste statiche. Poi apre un canale WebSocket criptato per comunicare con gli aggressori. Dopo la compromissione, si beaconsa a IP fissi su porte non standard, come 8443, 8445, 8453, 5555 e 56001-56003.
La campagna ha evoluta in multiple wave, mantenendo la stessa infrastruttura e tradecraft. In alcune wave, ha cambiato i nomi dei file LNK con prefisso PHOTO, compilato dinamicamente DLL .NET e usato domini .cfd frontati da Cloudflare. Microsoft non ha attribuito l’attività a un threat actor noto, ma l’operatore è impegnato in obfuscazione, persistenza e evasione di consegna per mantenere l’accesso per azioni future.
