أصدرت شركة Microsoft تحذيرًا من حملة تصيّد نشطة تستهدف الفنادق ومؤسسات الضيافة في أوروبا وآسيا منذ أبريل 2026، مستخدمة ملفات ZIP تحمل طابع الصور لإسقاط برمجية خبيثة مكتوبة بلغة Node.js على أجهزة الاستقبال ومكاتب الحجز. ورغم أن الهدف النهائي للمهاجمين لم يتضح بعد، إلا أن أسلوب التنفيذ يعكس مستوى متقدمًا من الحيل التقنية.
أسلوب الإغراء والضغط النفسي
رسائل التصيّد تصل بأسماء مثل “Booking Manager (via Calendly)”، وتتناول شكاوى النزلاء، تفشي بقّ الفراش، مراجعات الإقامة، أو تحذيرات من عمليات تفتيش صحية. الرسائل صيغت باليابانية والدنماركية والهولندية، مع هيمنة اللغة اليابانية، وتُرسل بشكل واسع دون تخصيص، ما يشير إلى حملة جماعية لا إلى استهداف فردي. الضغط هنا معنوي وسمعة الفندق هي الرهان.
تقنيات تجاوز الحماية
المهاجمون استخدموا ما وصفته مايكروسوفت بـ”غسيل المصادقة”، حيث تمر الرسائل عبر نظام إشعارات البريد الإلكتروني الخاص بـCalendly وخدمة إعادة التوجيه من Google. هذا يضمن اجتياز فحوصات SPF وDKIM وDMARC، لأن الرسائل بالفعل صادرة من بنية تحتية موثوقة. بعد سلسلة تحويلات، يصل الضحية إلى نطاق جديد بامتداد .cfd محمي بخدمة Cloudflare Turnstile، ما يعقد التحليل الأمني. عند الدخول، يُحمّل ملف باسم photo-<numbers>.zip يحتوي على اختصار (LNK) يتظاهر بأنه صورة، لكنه يُشغّل PowerShell.
من PowerShell إلى Node.js
البرنامج النصي يستخدم عمليات حسابية بـBigInt لفك شفرة رابط مخفي، ثم ينزل ملف .ps1 إلى مجلد %TEMP%، ويضيف نسخة شرعية من Node.js v24.13.0 إلى مساحة المستخدم، ليشغّل بعدها البرمجية الخبيثة. الحمولة تُعرف باسم TonRAT، وتستخدم واجهة TON blockchain API لحل نطاقات C2، ثم تفتح قناة مشفرة عبر WebSocket، ما يجعل قوائم الحظر الثابتة أقل فعالية.
مؤشرات الإصابة
بعد الاختراق، رُصدت اتصالات إلى عناوين IP ثابتة عبر منافذ غير قياسية مثل 8443 و8445 و8453 و5555 و56001–56003. بعض الأجهزة أظهرت تشغيل متصفحات آلية بدون واجهة رسومية (–headless –no-sandbox)، وفحصًا لموقع الجهاز عبر ip-api.com، وحتى أوامر لإيقاف التشغيل الفوري.
مسارات الاستمرارية
للتعافي الكامل، يجب معالجة مسارين للاستمرارية:
- إدخال RunOnce في مجلد ProgramData.
- مفتاح تشغيل Node.js في السجل. إزالة أحدهما فقط يترك الآخر نشطًا. لذلك، يجب فحص أنظمة الاستقبال والحجز أولًا.
سياق أوسع
سبق أن وثقت شركتا SOC Prime وITOCHU نفس سلسلة الهجوم قبل أسبوعين، وأكدت مايكروسوفت أن نتائجها تتطابق مع تلك التقارير. كما أن حملات تصيّد مرتبطة بالحجوزات استهدفت الفنادق سابقًا، منها حملات ClickFix التي وزعت برمجية PureRAT لسرقة بيانات تسجيل الدخول في Booking.com.





























