https://cyberveille.ch/tags/tonrat/ Recent content in TonRAT on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 30 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-30-campagne-photo-zip-ciblant-l-hotellerie-implant-node-js-et-persistance-duale-via-registre/ Tue, 30 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-30-campagne-photo-zip-ciblant-l-hotellerie-implant-node-js-et-persistance-duale-via-registre/ <p>📅 <strong>Source et contexte</strong> : Article publié le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d&rsquo;intrusion active depuis avril 2026, non attribuée à un acteur connu, ciblant des organisations du secteur hôtelier en Europe et en Asie.</p> <p>🎯 <strong>Vecteur d&rsquo;accès initial</strong> : La campagne repose sur la distribution d&rsquo;<strong>archives ZIP à thème photo</strong> (<code>photo-&lt;random&gt;.zip</code>) contenant des <strong>fichiers LNK déguisés en images PNG</strong> (<code>IMG-*.png.lnk</code> en Wave 1, <code>PHOTO-*.png.lnk</code> en Wave 2). Les liens vers ces archives sont relayés via des <strong>emails de phishing</strong> exploitant l&rsquo;infrastructure Calendly (sous-domaine <code>em1618.calendly.com</code>) et les redirections Google (<code>share.google</code>), une technique qualifiée d&rsquo;<strong>authentication laundering</strong> permettant de passer les contrôles SPF, DKIM et DMARC. Les leurres sont rédigés en japonais, danois et néerlandais et exploitent des thèmes liés aux plaintes clients, infestations de punaises de lit, et alertes sanitaires.</p>