Hotellerie, Beschuss

Hotellerie unter Beschuss: Phishing-Kampagne mit Node.js-Trojaner

Veröffentlicht: 30.06.2026 um 17:09 Uhr, Redaktion boerse-global.de

Eine gezielte Malware-Welle nutzt gefälschte Gästebeschwerden, um Hotelsysteme in Europa und Asien zu infiltrieren.

Phishing-Kampagne attackiert Hotels mit Node.js-Trojanern
Hackerhände tippen auf Tastatur, verschwommene Hotellobby im Hintergrund, symbolisiert Cyberangriffe auf Hotels. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Angreifer nutzen eine spezielle Node.js-Software, um sich dauerhaft Zugang zu Computersystemen zu verschaffen – und tarnen sich als harmlose Gästebeschwerden.

So täuschen die Hacker Hotelmitarbeiter

Die Täter zielen gezielt auf Rezeptionen und Buchungssysteme ab. Ihre E-Mails enthalten ZIP-Dateien mit täuschend echten Namen wie „IMG.png.lnk" oder „PHOTO.png.lnk". Öffnet ein Mitarbeiter diese Anhänge, startet eine mehrstufige Infektion.

Zunächst laden LNK-Dateien und PowerShell-Skripte einen Trojaner namens TonRAT herunter – eine Schadsoftware auf Basis von Node.js, teils in Version 24.13.0. Der Schädling verankert sich über die Windows-Registrierung (Run- und RunOnce-Keys) im System.

Zur Tarnung kommuniziert die Malware über ungewöhnliche Ports wie 8443, 8445, 8453, 5555 und den Bereich 56001–56003. Die meisten Steuerungsserver sind kurzlebig und hinter Cloudflare versteckt.

Missbrauch vertrauenswürdiger Dienste

Ein besonderer Kniff: die sogenannte „Authentifizierungs-Wäsche". Seit Mai 2026 kapern die Angreifer legitime Kalender- und Weiterleitungsdienste wie Calendly und Google Redirects. Indem sie Links dieser vertrauenswürdigen Anbieter einbetten, umgehen sie Sicherheitsstandards wie SPF, DKIM und DMARC.

Die Lock-E-Mails erscheinen in Japanisch, Dänisch und Niederländisch. Typische Betreffzeilen: dringende Gästebewertungen, Zimmeranfragen oder Beschwerden über Bettwanzen.

Anzeige

Wer die aktuelle Phishing-Kampagne mit Node.js-Trojanern für sein Hotel bewerten will, findet in diesem Report die wichtigsten Abwehr-Hebel – von Mitarbeiter-Schulung bis Blockchain-Malware-Erkennung. Jetzt kostenlosen Schutz-Report anfordern

Blockchain-Technologie als Steuerungsinstrument

Seit Ende Mai 2026 zielt ein Ableger der Kampagne speziell auf Booking.com-Partner in Japan. Hier kommt der Trojaner TONResolver zum Einsatz – eine Node.js-Anwendung mit virtueller Verschleierung.

Seine Besonderheit: Er nutzt die TON-Blockchain (The Open Network) zur Steuerung. Ein Smart Contract fungiert als „toter Briefkasten" für Server-Adressen. Herkömmliche Sicherheitslösungen können diese Methode kaum blockieren.

Neben Japan sind Hotels in Deutschland, Italien, Großbritannien und den USA betroffen.

Was die Angreifer nach der Infektion tun

Anzeige

Hotels, die bereits verdächtige Gästebeschwerden erhalten haben, brauchen jetzt einen klaren Plan zur Trojaner-Entfernung – bevor die Blockchain-gesteuerte Malware dauerhaften Zugriff auf Gästedaten erlangt. Dieser Leitfaden liefert eine Schritt-für-Schritt-Entfernungsanleitung und Sicherheits-Checkliste. Node.js-Trojaner-Entfernungsleitfaden jetzt sichern

Die genauen Ziele sind noch unklar. Beobachtet wurden:
- Endgeräte-Analyse und Ausführung beliebiger JavaScript- und PowerShell-Befehle
- Diebstahl von Browser-Passwörtern und Zugriff auf den „lsass.exe"-Prozess für Anmeldedaten
- Einsatz von automatisierten Browsern (Headless) und erzwungene Systemabschaltungen

Zwar gibt es bislang keine bestätigten Fälle von Datendiebstahl oder Erpressungssoftware. Doch der dauerhafte Zugriff auf Hotelsysteme birgt erhebliche Risiken für Betriebsabläufe und Gästedaten.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69662172 |