Campagne Photo ZIP ciblant l'hôtellerie : implant Node.js et persistance duale via registre

📅 Source et contexte : Article publié le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d’intrusion active depuis avril 2026, non attribuée à un acteur connu, ciblant des organisations du secteur hôtelier en Europe et en Asie.

🎯 Vecteur d’accès initial : La campagne repose sur la distribution d’archives ZIP à thème photo (photo-<random>.zip) contenant des fichiers LNK déguisés en images PNG (IMG-*.png.lnk en Wave 1, PHOTO-*.png.lnk en Wave 2). Les liens vers ces archives sont relayés via des emails de phishing exploitant l’infrastructure Calendly (sous-domaine em1618.calendly.com) et les redirections Google (share.google), une technique qualifiée d’authentication laundering permettant de passer les contrôles SPF, DKIM et DMARC. Les leurres sont rédigés en japonais, danois et néerlandais et exploitent des thèmes liés aux plaintes clients, infestations de punaises de lit, et alertes sanitaires.

⚙️ Chaîne d’attaque :

• Wave 1 : LNK → PowerShell obfusqué (décodeur BigInt) → téléchargement .ps1 → déploiement Node.js
• Wave 2 : LNK → PowerShell → compilation .NET dynamique via csc.exe/cvtres.exe → DLL → Node.js
• Le runtime Node.js (node-v24.13.0-win-x64) est téléchargé depuis le site officiel nodejs.org et placé dans un chemin utilisateur (AppData\Local\Nodejs\)
• L’implant JavaScript est exécuté avec un domaine C2 en argument de ligne de commande

🔒 Persistance et évasion :

• Mécanisme dual : HKCU\Run pointe vers le composant Node.js, HKCU\RunOnce pointe vers le payload PE dans C:\ProgramData\<random>\
• Le RunOnce se régénère après chaque exécution, créant une boucle de persistance inhabituelle
• Ajout d’exclusions Microsoft Defender via Add-MpPreference -ExclusionProcess pour les exécutables dans %TEMP%
• 7 phases d’évolution d’obfuscation PowerShell observées (XOR BigInt → soustraction → substitution hexadécimale → masquage arithmétique → modulo/division → randomisation syntaxique → boucle for)

📡 C2 et infrastructure :

• Communications sur ports non-standard : 8443, 8445, 8453, 5555, 56001, 56002, 56003
• IPs C2 Wave 1 : 178.16.54.27, 95.217.97.121, 193.202.84.32, 178.16.55.179
• Domaines Wave 2 en .cfd hébergés derrière Cloudflare, suivant le pattern photo-<digits>.cfd, avec rotation tous les 2-3 jours
• Chaîne de redirection multi-hop : Calendly → share.google → Google → domaine .cfd

🔍 Activités post-compromission observées : beaconing C2, automatisation de navigateur en mode headless (--headless --no-sandbox), lookup géolocalisation via ip-api.com, et arrêt forcé du système (cmd /c shutdown -s -t 0).

📄 Type d’article : Publication de recherche technique à visée CTI, fournissant une analyse détaillée de la chaîne d’attaque, des IOCs, des requêtes de chasse avancée (KQL) et des mappings MITRE ATT&CK pour permettre la détection et la réponse aux incidents.

🧠 TTPs et IOCs détectés

TTP

• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
• T1584.006 — Compromise Infrastructure: Web Services (Resource Development)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1199 — Trusted Relationship (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1027.004 — Obfuscated Files or Information: Compile After Delivery (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1016 — System Network Configuration Discovery (Discovery)
• T1571 — Non-Standard Port (Command and Control)

IOC

• IPv4 : 178.16.54.27 — AbuseIPDB · VT · ThreatFox
• IPv4 : 95.217.97.121 — AbuseIPDB · VT · ThreatFox
• IPv4 : 193.202.84.32 — AbuseIPDB · VT · ThreatFox
• IPv4 : 178.16.55.179 — AbuseIPDB · VT · ThreatFox
• IPv4 : 172.67.161.215 — AbuseIPDB · VT · ThreatFox
• IPv4 : 208.95.112.1 — AbuseIPDB · VT · ThreatFox
• Domaines : prejointl.info — VT · URLhaus · ThreatFox
• Domaines : safedocphoto.info — VT · URLhaus · ThreatFox
• Domaines : recallnine.info — VT · URLhaus · ThreatFox
• Domaines : kentjerk.info — VT · URLhaus · ThreatFox
• Domaines : photodoc-secure.info — VT · URLhaus · ThreatFox
• Domaines : kelopins.info — VT · URLhaus · ThreatFox
• Domaines : docstore-safe.info — VT · URLhaus · ThreatFox
• Domaines : photosafe-hub.info — VT · URLhaus · ThreatFox
• Domaines : dashgamein.info — VT · URLhaus · ThreatFox
• Domaines : image-vlt.info — VT · URLhaus · ThreatFox
• Domaines : safedoc-storage.info — VT · URLhaus · ThreatFox
• Domaines : safe-picvault.info — VT · URLhaus · ThreatFox
• Domaines : photo-dekor.xyz — VT · URLhaus · ThreatFox
• Domaines : reservebookphot.pro — VT · URLhaus · ThreatFox
• Domaines : kellystreets.info — VT · URLhaus · ThreatFox
• Domaines : widjssij728dj.com — VT · URLhaus · ThreatFox
• Domaines : docshub-01.info — VT · URLhaus · ThreatFox
• Domaines : photobookadm.pro — VT · URLhaus · ThreatFox
• Domaines : safedoc-vault.info — VT · URLhaus · ThreatFox
• Domaines : keypmenu.info — VT · URLhaus · ThreatFox
• Domaines : photo-box.info — VT · URLhaus · ThreatFox
• Domaines : expedla-getphoto.cloud — VT · URLhaus · ThreatFox
• Domaines : vertualstreak.info — VT · URLhaus · ThreatFox
• Domaines : montagelips.info — VT · URLhaus · ThreatFox
• Domaines : racestrech.info — VT · URLhaus · ThreatFox
• Domaines : derbyoni.info — VT · URLhaus · ThreatFox
• Domaines : ministrew.info — VT · URLhaus · ThreatFox
• Domaines : visaphoto-secure.info — VT · URLhaus · ThreatFox
• Domaines : docshub-secure.com — VT · URLhaus · ThreatFox
• Domaines : visaimage-storage.icu — VT · URLhaus · ThreatFox
• Domaines : lookinlip.info — VT · URLhaus · ThreatFox
• Domaines : safephoto-vault.info — VT · URLhaus · ThreatFox
• Domaines : kiptownim.info — VT · URLhaus · ThreatFox
• Domaines : finallyrain.info — VT · URLhaus · ThreatFox
• Domaines : photobook-reserv.pro — VT · URLhaus · ThreatFox
• Domaines : bookreservphoto.pro — VT · URLhaus · ThreatFox
• Domaines : imagestore-hub.info — VT · URLhaus · ThreatFox
• Domaines : visaimages.info — VT · URLhaus · ThreatFox
• Domaines : visaphoto-vault.info — VT · URLhaus · ThreatFox
• Domaines : visa-vault.info — VT · URLhaus · ThreatFox
• Domaines : visa-safedocs.info — VT · URLhaus · ThreatFox
• Domaines : joincroud.info — VT · URLhaus · ThreatFox
• Domaines : kinghoruswe.info — VT · URLhaus · ThreatFox
• Domaines : snapkeep.info — VT · URLhaus · ThreatFox
• Domaines : deeprace.info — VT · URLhaus · ThreatFox
• Domaines : lestresot.info — VT · URLhaus · ThreatFox
• Domaines : recepyman.info — VT · URLhaus · ThreatFox
• Domaines : recstrace.info — VT · URLhaus · ThreatFox
• Domaines : heliosup.info — VT · URLhaus · ThreatFox
• Domaines : fairyspells.info — VT · URLhaus · ThreatFox
• Domaines : hakeiwjs727wj.com — VT · URLhaus · ThreatFox
• Domaines : haobbao.com — VT · URLhaus · ThreatFox
• Domaines : dancamp.info — VT · URLhaus · ThreatFox
• Domaines : sec-safe-dc.info — VT · URLhaus · ThreatFox
• Domaines : secure-imagehub.info — VT · URLhaus · ThreatFox
• Domaines : doc-imagehub.info — VT · URLhaus · ThreatFox
• Domaines : imagevault-safe.info — VT · URLhaus · ThreatFox
• Domaines : photo-hub-io.info — VT · URLhaus · ThreatFox
• Domaines : safevault-hub.info — VT · URLhaus · ThreatFox
• Domaines : tripadvisor-photo-view.com — VT · URLhaus · ThreatFox
• Domaines : photo-7216302.sbs — VT · URLhaus · ThreatFox
• Domaines : photo-26254.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-132454.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-8632454.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-21473.xyz — VT · URLhaus · ThreatFox
• Domaines : photo-7216102.click — VT · URLhaus · ThreatFox
• Domaines : zloapobikahy23.bond — VT · URLhaus · ThreatFox
• Domaines : higoksbupwou.com — VT · URLhaus · ThreatFox
• Domaines : aluminiostramuntana.com — VT · URLhaus · ThreatFox
• Domaines : photo-26653.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-26654.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-26656.cfd — VT · URLhaus · ThreatFox
• Domaines : photo-27857.cfd — VT · URLhaus · ThreatFox
• Domaines : safedocphoto.info — VT · URLhaus · ThreatFox
• Domaines : recallnine.info — VT · URLhaus · ThreatFox
• Domaines : kentjerk.info — VT · URLhaus · ThreatFox
• Domaines : photodoc-secure.info — VT · URLhaus · ThreatFox
• Domaines : kelopins.info — VT · URLhaus · ThreatFox
• SHA256 : 83e970feb3f10692c164f6889f7a026f135c2433e5bf8e662a6e63a3b81267b7 — VT · MalwareBazaar
• SHA256 : 06a2888c1f07119873ccb051221bd8717281494b33585f4242556e6e5e227969 — VT · MalwareBazaar
• SHA256 : 04ec44f2618460f5c77c5e56014a512cc03a123c9c5b6b6b1273e2a1681ac2e1 — VT · MalwareBazaar
• SHA256 : 1c693bcdaf1da636eb21c274b21cc2f6c52c62ddd514700783eee83fe13acb0a — VT · MalwareBazaar
• SHA256 : 2e5fd01b7949a45937b853eabcf4b03195614cf84338dcaaa97240d1c5301ddc — VT · MalwareBazaar
• SHA256 : 3f66634f103b80412d1d670b91befab2a74425d2ea76d904c4a7ffae2ae94b44 — VT · MalwareBazaar
• SHA256 : 63565f15a99769bbcd527a4d53e5cc259d80e1254463ef9c878c2074685558ae — VT · MalwareBazaar
• SHA256 : 49cc0e0c3ec060fb354cacee244d4f297aaefb6db66e67a21262d6c4d2eae1bd — VT · MalwareBazaar
• SHA256 : 6580de3b74fd635a1d7a887b8f6e5b0c9ac9e90d6e20466ad41489203119cca9 — VT · MalwareBazaar
• SHA256 : f629311734b7c6e6579f8e1d0e1e3f3bf72c9ac6c301b631ba4df7f393c41b14 — VT · MalwareBazaar
• SHA256 : 98825c0c7764f45c891275b2f038ea559e84b340df30b41c2cc77b8d4215c6c8 — VT · MalwareBazaar
• SHA256 : bd6805782df15e53581096b99bd6bbb81f4d4a5e2d2b30954df63175a4075be9 — VT · MalwareBazaar
• SHA256 : 89934cb1494cf0327f0ab82fe644c74caf687814379cad116bd7adaca74c1028 — VT · MalwareBazaar
• SHA256 : 1f8daffec5945a13a1e9231f4a76655d4c7ef4560d0c64ca3abfe48f38297cbd — VT · MalwareBazaar
• SHA256 : 9f10e3b6e5745784f26d18c38ce01fba054b19749c17260978ac11472564aee2 — VT · MalwareBazaar
• SHA256 : 97448688b292bfec6d83b153588076fe59b111c35ac4e42a916238df16a71e2f — VT · MalwareBazaar
• SHA256 : c5baa0c16b0074a1e94b48aa0177e9bfc23746aca8a5b42848a6685da85658b5 — VT · MalwareBazaar
• SHA256 : b7f46b192cd83a1d2487cb048cca645f6e8855b9673d500d50bbdb04eebc6bea — VT · MalwareBazaar
• SHA256 : d14ba95cdce1ef7dc9ad3ac74949ca5db38b27378ee30f30a23cf26f9e875a11 — VT · MalwareBazaar
• Fichiers : IMG-805916584.png.lnk
• Fichiers : IMG-421741673.png.lnk
• Fichiers : IMG-223099041.png.lnk
• Fichiers : IMG-386443483.png.lnk
• Fichiers : PHOTO-215746435.png.lnk
• Fichiers : xmnrwv9l.exe
• Fichiers : qFWe908J.ps1
• Fichiers : bjygtujc.dll
• Fichiers : cBA8H4S5k04jAY.exe
• Fichiers : eaa3q8BQZcnIOV.exe
• Fichiers : BaUWXagH4CGZS.exe
• Fichiers : CJE4domtVFM9LX.exe
• Chemins : C:\Users\[REDACTED]\AppData\Local\Nodejs\
• Chemins : C:\ProgramData\FFXjwKn\fehqf5oo.exe
• Chemins : C:\ProgramData\PEIEZlD\qulcp452eb9.exe
• Chemins : C:\ProgramData\YXbwfua\e6kz1ruadskkk.exe
• Chemins : C:\ProgramData\PsrOqKF\vl8daccehg.exe
• Chemins : C:\ProgramData\riloNEK\s8bpfaee.exe
• Chemins : C:\ProgramData\JMSVrLU\choffgpa.exe

Malware / Outils

• TonRAT (rat)
• PureRat (rat)
• Wacatac (other)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ microsoft.com — source reconnue (liste interne) (20pts)
• ✅ 56586 chars — texte complet (fulltext extrait) (15pts)
• ✅ 122 IOCs dont des hashes (15pts)
• ✅ 9/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 15 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 178.16.54.27 (ip) → VT (17/91 détections)
• 95.217.97.121 (ip) → VT (4/91 détections)
• 193.202.84.32 (ip) → VT (4/91 détections)
• 83e970feb3f10692… (sha256) → VT (29/76 détections)
• 06a2888c1f071198… (sha256) → VT (45/76 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers-node-js-implant-persistent-access/