Giriş
2026 Nisan ayından bu yana Avrupa ve Asya’daki otel ve konaklama sektörlerine yönelik aktif bir kimlik avı kampanyası sürdürülmektedir. Microsoft’un tespitlerine göre, sahte fotoğraf temalı ZIP dosyaları aracılığıyla Node.js implantı dağıtan bu kampanya, ön büro bilgisayarlarına sızmayı hedefliyor.
Saldırı Nasıl Çalışıyor?
Bu kimlik avı kampanyasında kullanılan e-postalar, “Booking Manager (via Calendly)” isimli bir gösterim adı taşıyor ve misafir şikayetleri, yatak böceği infestasyonları, oda sorgulamaları, sağlık denetimleri ve konaklama değerlendirmeleri gibi konulara atıfta bulunuyor.
E-postaların Japonca, Danca ve Hollandaca dillerinde olduğu ve en yaygın olanının Japonca olduğu belirtiliyor. Önemli bir detay olarak, konu satırlarında belirli bir alıcı veya mülk adı geçmiyor; bu da kampanyanın daha geniş bir kitleye hitap ettiğini gösteriyor.
Kampanyada ilginç bir teslimat yöntemi kullanılıyor: E-postalar, Calendly’nin e-posta bildirim sistemi ve Google’ın URL yönlendirme hizmeti üzerinden yönlendiriliyor. Microsoft bu durumu “kimlik doğrulama temizliği” olarak tanımlıyor. Gönderici bilgileri, e-postaların geçerli bir altyapıdan geldiğini kanıtlıyor; ancak mesajın içeriği hakkında bilgi vermiyor.
Kurbanların yönlendirilmesi, bir Calendly bağlantısı aracılığıyla başlıyor ve sonunda yeni kayıtlı, Cloudflare’nin ön yüzü ile korunan bir .cfd alan adına ulaşıyor. Bu alan, analiz etmeyi zorlaştıran bir Turnstile testi altında yer alıyor.
Kullanıcı, “photo-
Etkilenen Sistemler
Dosyanın açılması, PowerShell’i tetikliyor ve şifreli bir indirme URL’sini çözmek için BigInt aritmetiği kullanıyor. Ardından, %TEMP% dizinine bir .ps1 dosyası indiriyor ve kullanıcının alanında Node.js v24.13.0 çalıştırmasını sağlıyor. Bu, sistem genelinde bir Node.js kurulumu gerektirmeden JavaScript implantının çalışmasına olanak tanıyor.
Bu implant, TonRAT olarak adlandırılıyor ve C2 alan adlarını TON blockchain API’si üzerinden çözümlüyor. Sabit IP’lere yönelik istismarlar ise standart olmayan portlar üzerinden gerçekleşiyor: 8443, 8445, 8453, 5555, 56001 ile 56003. Bazı sistemlerde başsız tarayıcı otomasyonu ve coğrafi konum kontrolü gibi yöntemler de gözlemleniyor.
Microsoft, şu an için veri hırsızlığı veya fidye yazılımı ile ilgili herhangi bir doğrulama yapmamıştır.
Çözüm ve Korunma
Tam iyileştirme, hem RunOnce girişini hem de Node.js çalışma anahtarını ele almalıdır. Kullanıcıların AppDataLocalNodejs altında bulunan runtime ve .js dosyalarını da temizlemeleri gerekebilir. Bu tür olayların yaşandığı alanlar arasında resepsiyon, rezervasyon ve ön büro sistemleri öncelikli olarak kontrol edilmelidir.
Bu kampanya yeni bir durum değildir; SOC Prime ve ITOCHU, otel sektörüne yönelik aynı kimlik avı yöntemlerini ve LNK’den PowerShell’e geçişi iki hafta önce belgeledi. Booking temalı kimlik avları, otel personeline dönük periyodik bir tehlike olmuştur.
Sonuç
Bu kampanyanın ardındaki operatörlerin nihai hedefleri henüz netleşmemiştir. Geçici erişim sağlama, temizliğin yanlış yapılması ve nihai yüklemenin tespit edilememesi, durumu sıradan bir booking temalı kimlik avı olarak değerlendirmekten öteye taşıyor. Okuyucuların, sistemlerini güncellemeleri ve şüpheli e-postalardan kaçınmaları, gerekli öncelikli adımları atmaları önerilmektedir.
