Une campagne de phishing suivie par Microsoft cible depuis avril des hôtels en Europe et en Asie. Les attaquants s’appuient sur des messages imitant des réclamations de clients, des demandes de réservation ou des signalements sanitaires pour pousser les équipes d’accueil à ouvrir des archives ZIP piégées. L’intérêt de l’opération tient autant au leurre utilisé qu’à la manière dont les messages abusent de services légitimes pour passer sous les radars d’une partie des contrôles de messagerie.
Le secteur hôtelier reste une cible particulièrement exposée au phishing, non parce qu’il serait moins mature que d’autres, mais parce que son fonctionnement quotidien repose sur une forte réactivité aux messages entrants. Une réclamation client, une photo de chambre, une demande de réservation ou un signalement de nuisibles peut difficilement être ignoré par une réception ou un service de réservation. C’est précisément ce réflexe métier qu’exploite une campagne documentée par Microsoft Threat Intelligence.
Selon Microsoft, l’opération vise des organisations du secteur hôtelier depuis avril 2026, avec des observations dans plusieurs pays d’Europe et d’Asie. L’éditeur n’attribue pas cette activité à un groupe connu et précise que l’objectif final des attaquants reste incertain. Les comportements observés montrent toutefois une volonté de maintenir un accès persistant aux machines compromises, ce qui distingue cette campagne d’un simple envoi opportuniste de pièces jointes malveillantes.
Des messages conçus pour provoquer une réaction rapide
Les leurres observés reprennent des situations sensibles pour un établissement hôtelier. Microsoft cite notamment des plaintes de clients, des signalements de punaises de lit, des demandes sur l’état des chambres, des avis de séjour ou des notifications de vérification. Les messages sont rédigés en plusieurs langues, dont le japonais, le danois et le néerlandais, le japonais étant le plus fréquent dans les échantillons étudiés.
Ces thèmes ne sont pas choisis au hasard. Une plainte sanitaire ou une menace d’inspection crée une pression immédiate. Elle pousse le destinataire à consulter les éléments joints, surtout lorsque le message semble venir d’un service utilisé dans les échanges professionnels. Les comptes et machines ciblés confirment cet ancrage opérationnel. Microsoft indique avoir observé des noms d’utilisateurs ou de postes associés à la réception, aux réservations ou à l’accueil.
Les attaquants n’ont pas besoin d’un message très personnalisé pour obtenir cet effet. Les objets analysés restent génériques, sans nom d’établissement ni nom de client. Cette absence de personnalisation suggère une diffusion à volume élevé, fondée sur des listes de contacts plutôt que sur une reconnaissance fine de chaque hôtel. Le réalisme vient moins du niveau de détail que de la cohérence avec les tâches quotidiennes des équipes visées.
Quand l’authentification email ne suffit plus
L’un des points les plus intéressants de la campagne concerne la distribution des messages. À partir de fin mai, Microsoft observe l’abus de services légitimes, dont l’infrastructure de notification de Calendly et des redirections Google. Cette chaîne permet aux attaquants de faire transiter les liens malveillants par des services réputés, avec des résultats SPF, DKIM et DMARC valides dans certains scénarios.
Microsoft qualifie cette technique d’authentication laundering. Le terme désigne ici une forme de blanchiment de l’authentification. Le message passe par une infrastructure autorisée, ce qui valide son origine technique, mais cette validation ne dit rien de l’intention réelle du contenu. Autrement dit, les contrôles d’authentification confirment que le service expéditeur est légitime, pas que le lien intégré est sûr.
La nuance est importante pour les entreprises qui associent encore trop fortement l’authentification email à un signal de confiance. SPF, DKIM et DMARC restent indispensables, mais ils ne sont pas conçus pour qualifier le comportement d’un lien ou le contenu d’un fichier téléchargé après plusieurs redirections. Dans cette campagne, la chaîne peut mener l’utilisateur vers un domaine final en .cfd, souvent thématisé autour de photos, puis vers une archive ZIP présentée comme un élément visuel.
Une fausse image qui lance une chaîne d’infection
Le fichier téléchargé prend la forme d’une archive ZIP au nom banal, du type photo suivi d’une série de chiffres. À l’intérieur, l’utilisateur trouve un raccourci Windows qui se fait passer pour une image PNG. Dans une première vague, Microsoft a observé des fichiers nommés IMG avec une extension .png.lnk. Une seconde vague a introduit des variantes PHOTO, toujours avec une apparence de fichier image.
L’ouverture du raccourci déclenche une chaîne PowerShell obfusquée. Microsoft décrit plusieurs phases d’évolution du chargeur, avec des variations dans la manière de décoder et de récupérer les étapes suivantes. Le fond technique reste stable. Le raccourci lance PowerShell, qui télécharge un script, puis installe un environnement Node.js dans un emplacement utilisateur avant d’exécuter un implant JavaScript suivi par Microsoft sous le nom TonRAT.
L’attaque n’exige pas que Node.js soit déjà installé sur la machine. Le runtime observé est récupéré depuis le site légitime de Node.js puis placé dans un chemin accessible à l’utilisateur. L’implant peut ensuite être lancé avec des noms de fichiers aléatoires, ce qui complique les détections trop dépendantes d’indicateurs fixes.
Une persistance pensée pour résister au nettoyage partiel
Après l’installation, la campagne met en place plusieurs mécanismes de persistance. Microsoft décrit notamment l’usage de clés HKCU\Run et HKCU\RunOnce. La première maintient l’exécution du composant Node.js, tandis que la seconde pointe vers un exécutable placé dans ProgramData. Le fonctionnement de RunOnce est particulièrement notable, car l’entrée peut être recréée après exécution, ce qui transforme un mécanisme normalement ponctuel en boucle de réinstallation.
Cette architecture explique pourquoi un nettoyage incomplet peut laisser la machine compromise. Supprimer uniquement l’exécutable en ProgramData ou bloquer un payload ne suffit pas si le composant Node.js reste actif dans le profil utilisateur. Microsoft indique avoir observé un cas où une détection Defender a bloqué un exécutable, mais où la persistance Node.js a permis une reprise des communications deux jours plus tard.
Les attaquants modifient aussi certaines exclusions de Microsoft Defender pour des exécutables temporaires. Là encore, le signal intéressant n’est pas seulement le nom d’un fichier, facilement modifiable, mais la séquence complète. Une archive photo, un raccourci déguisé en PNG, PowerShell, Node.js lancé depuis AppData, des exclusions Defender, puis une persistance dans le registre forment un enchaînement beaucoup plus robuste pour la détection.
Un objectif encore flou, mais un accès durable
Microsoft ne confirme ni vol de données, ni déploiement de ransomware, ni victimes nommées. Les activités post-compromission observées incluent des communications de commande et contrôle sur des ports non standards, des vérifications d’environnement, de l’automatisation de navigateur en mode headless et, dans certains cas, des commandes de fermeture immédiate de la machine.
Ces éléments ne suffisent pas à qualifier l’objectif final de la campagne. Ils montrent en revanche un investissement réel dans la persistance et l’évasion. Pour les hôtels, le point d’entrée visé est loin d’être secondaire. Les postes de réception et de réservation concentrent des échanges clients, des documents, des accès à des plateformes tierces et parfois des données liées au séjour.
La priorité consiste donc à surveiller les signaux liés à cette chaîne d’infection : archives ZIP présentées comme des photos, raccourcis .png.lnk, lancements inhabituels de PowerShell, exécutions de Node.js depuis un répertoire utilisateur, exclusions Defender et clés Run ou RunOnce suspectes. La campagne illustre surtout une limite fréquente des approches anti-phishing trop abstraites. Dans l’hôtellerie, ouvrir une pièce jointe envoyée par un client peut faire partie du travail. C’est cette normalité opérationnelle que les attaquants exploitent.
