Campagne Photo ZIP ciblant l'hôtellerie : implant Node.js et persistance duale via registre
📅 Source et contexte : Article publié le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d’intrusion active depuis avril 2026, non attribuée à un acteur connu, ciblant des organisations du secteur hôtelier en Europe et en Asie. 🎯 Vecteur d’accès initial : La campagne repose sur la distribution d’archives ZIP à thème photo (photo-<random>.zip) contenant des fichiers LNK déguisés en images PNG (IMG-*.png.lnk en Wave 1, PHOTO-*.png.lnk en Wave 2). Les liens vers ces archives sont relayés via des emails de phishing exploitant l’infrastructure Calendly (sous-domaine em1618.calendly.com) et les redirections Google (share.google), une technique qualifiée d’authentication laundering permettant de passer les contrôles SPF, DKIM et DMARC. Les leurres sont rédigés en japonais, danois et néerlandais et exploitent des thèmes liés aux plaintes clients, infestations de punaises de lit, et alertes sanitaires. ...