«Parece que tenemos una queja». Cómo una carta de un "huésped insatisfecho" puede, sin que nadie lo note, dejar en jaque la seguridad de todo un hote
A primera vista parece una foto cualquiera, pero tras su apariencia habitual se esconde un guion ajeno.
En el negocio hotelero, las cartas de queja y las fotos parecen rutina laboral, y fue ese escenario habitual el que los atacantes convirtieron en punto de entrada para una nueva campaña multinivel contra hoteles. Microsoft Threat Intelligence identificó ataques activos contra organizaciones hoteleras en Europa y Asia que se remontan a abril de 2026 y que, por ahora, no están vinculados a ningún grupo conocido.
El ataque comienza con correos de phishing dirigidos a empleados de recepción, reservas y otros departamentos que suelen recibir adjuntos de los huéspedes. Los mensajes emplean asuntos sobre quejas, el estado de la habitación, reseñas y notificaciones de chinches. A finales de mayo los atacantes también empezaron a abusar de notificaciones de Calendly y del reenvío de Google para que los correos pasaran las verificaciones SPF, DKIM y DMARC y parecieran mensajes legítimos de servicio.
El enlace redirige a través de varias etapas a dominios del tipo photo-*.cfd, protegidos por la comprobación Cloudflare Turnstile. Tras la verificación se ofrece a la víctima un archivo ZIP con una «foto», pero dentro hay un acceso directo LNK enmascarado como archivo PNG. En la primera oleada los archivos se llamaban IMG-<números>.png.lnk; en la segunda los atacantes pasaron a PHOTO-<números>.png.lnk.
Al ejecutarlo, el acceso directo invoca PowerShell, que de forma oculta descifra la dirección de la siguiente etapa y descarga un script adicional. En la segunda oleada la cadena se complicó: apareció una fase de compilación de una pequeña biblioteca .NET mediante csc.exe y cvtres.exe. Después, en la máquina comprometida se ejecuta un componente en Node.js desde la carpeta de usuario AppData\Local\Nodejs, lo que permite a los atacantes no depender de una instalación de Node.js en el sistema.
La persistencia en el sistema se construye sobre dos claves del registro. Una inicia el componente Node.js vía HKCU\Run; la otra, a través de HKCU\RunOnce, apunta a un archivo en ProgramData. Microsoft destaca por separado un bucle inusual de RunOnce en el que la entrada se restaura tras su ejecución. En un caso confirmado Defender bloqueó un archivo PE, pero el componente Node.js restante, tras aproximadamente dos días, volvió a conectar con el servidor de mando y control e intentó entregar nuevos archivos.
En fases avanzadas Microsoft observó conexiones con la infraestructura de comando por puertos no estándar, el inicio automático del navegador en segundo plano, comprobaciones del entorno de red externo y apagados forzados de dispositivos. El objetivo final de la campaña sigue sin estar claro, pero los mecanismos hallados indican la preparación de los sistemas infectados para acciones posteriores.
Para reducir el riesgo, Microsoft recomienda considerar sospechosos los archivos ZIP con «foto» y los archivos LNK IMG o PHOTO; revisar inicios inusuales de PowerShell, csc.exe, cvtres.exe y node.exe desde carpetas de usuario; vigilar cambios en las exclusiones de Defender para EXE temporales; buscar entradas en HKCU\Run y HKCU\RunOnce; y al limpiar eliminar ambos puntos de persistencia junto con el Node.js Runtime y los archivos JS relacionados en AppData\Local\Nodejs.