Campagne Photo ZIP ciblant l'hôtellerie : implant Node.js et persistance duale via registre

📅 Source et contexte : Article publié le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d’intrusion active depuis avril 2026, non attribuée à un acteur connu, ciblant des organisations du secteur hôtelier en Europe et en Asie. 🎯 Vecteur d’accès initial : La campagne repose sur la distribution d’archives ZIP à thème photo (photo-<random>.zip) contenant des fichiers LNK déguisés en images PNG (IMG-*.png.lnk en Wave 1, PHOTO-*.png.lnk en Wave 2). Les liens vers ces archives sont relayés via des emails de phishing exploitant l’infrastructure Calendly (sous-domaine em1618.calendly.com) et les redirections Google (share.google), une technique qualifiée d’authentication laundering permettant de passer les contrôles SPF, DKIM et DMARC. Les leurres sont rédigés en japonais, danois et néerlandais et exploitent des thèmes liés aux plaintes clients, infestations de punaises de lit, et alertes sanitaires. ...

30 juin 2026 · 8 min

Intrusion informatique au Grand Hotel de Taipei : réseaux coupés et enquête en cours

Selon UDN, le Grand Hotel de Taipei a été victime d’un incident de cybersécurité survenu pendant la période du Nouvel An lunaire. Des anomalies réseau ont été détectées le 17 février, menant à la constatation d’une intrusion non autorisée dans des systèmes privés de l’établissement. 🏨 À la suite des premières vérifications, l’hôtel a annoncé qu’un tiers non autorisé avait accédé à des systèmes internes. Cette découverte a été faite après la consultation de spécialistes en cybersécurité. 🔐 ...

23 février 2026 · 1 min

PHALT#BLYX : fausses BSOD et MSBuild détourné pour déployer DCRat contre l’hôtellerie européenne

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

6 janvier 2026 · 3 min

Vente massive de scans d’identités volés à des hôtels italiens signalée par le CERT-AGID

CERT-AGID (cert-agid.gov.it) signale une vente illégale de scans haute résolution de documents d’identité (passeports, cartes d’identité, etc.) volés à des hôtels en Italie 🏨🛂. Selon l’acteur malveillant “mydocs”, les premiers lots proviennent d’accès non autorisés à trois structures hôtelières, avec des vols survenus entre juin et juillet 2025. Le matériel est proposé sur un forum underground. Chronologie des ajouts annoncés: 08/08/2025: +17 000 documents issus d’une structure supplémentaire. 11/08/2025: publications de nouvelles collections totalisant plus de 70 000 documents exfiltrés à quatre hôtels italiens. 13/08/2025: environ 3 600 documents attribués à deux hôtels supplémentaires (portant le total d’hôtels concernés à dix au 13/08). 14/08/2025: environ 9 300 scans associés à deux nouvelles structures. Les documents volés constituent un actif de grande valeur pour des usages frauduleux, notamment: ...

15 août 2025 · 2 min

Cyberattaque contre les Arcona-Hotels impacte plusieurs sites

Selon un article publié le 28 mai 2025, les Arcona-Hotels ont été victimes d’un cyber-attaque détectée le vendredi de la semaine précédente. Cette attaque a entraîné des perturbations dans les systèmes informatiques de plusieurs de leurs établissements, notamment les hôtels Vju et Koopmanns sur Rügen, l’hôtel Elephant à Weimar, et le siège à Rostock. Après la découverte des anomalies par un prestataire IT, une décision a été prise de déconnecter préventivement les sites des services IT centraux pour limiter les dégâts potentiels. Cette mesure a permis de réduire l’impact de l’attaque, bien que certains systèmes comme les caisses et la téléphonie de la centrale de Rostock soient toujours affectés. ...

28 mai 2025 · 1 min
Dernière mise à jour le: 14 juillet 2026 📝