Hotellerie unter Beschuss: Phishing-Kampagne mit Node.js-Trojaner
Veröffentlicht: 30.06.2026 um 17:09 Uhr, Redaktion boerse-global.de
Die Angreifer nutzen eine spezielle Node.js-Software, um sich dauerhaft Zugang zu Computersystemen zu verschaffen – und tarnen sich als harmlose Gästebeschwerden.
So täuschen die Hacker Hotelmitarbeiter
Die Täter zielen gezielt auf Rezeptionen und Buchungssysteme ab. Ihre E-Mails enthalten ZIP-Dateien mit täuschend echten Namen wie „IMG.png.lnk" oder „PHOTO.png.lnk". Öffnet ein Mitarbeiter diese Anhänge, startet eine mehrstufige Infektion.
Zunächst laden LNK-Dateien und PowerShell-Skripte einen Trojaner namens TonRAT herunter – eine Schadsoftware auf Basis von Node.js, teils in Version 24.13.0. Der Schädling verankert sich über die Windows-Registrierung (Run- und RunOnce-Keys) im System.
Zur Tarnung kommuniziert die Malware über ungewöhnliche Ports wie 8443, 8445, 8453, 5555 und den Bereich 56001–56003. Die meisten Steuerungsserver sind kurzlebig und hinter Cloudflare versteckt.
Missbrauch vertrauenswürdiger Dienste
Ein besonderer Kniff: die sogenannte „Authentifizierungs-Wäsche". Seit Mai 2026 kapern die Angreifer legitime Kalender- und Weiterleitungsdienste wie Calendly und Google Redirects. Indem sie Links dieser vertrauenswürdigen Anbieter einbetten, umgehen sie Sicherheitsstandards wie SPF, DKIM und DMARC.
Die Lock-E-Mails erscheinen in Japanisch, Dänisch und Niederländisch. Typische Betreffzeilen: dringende Gästebewertungen, Zimmeranfragen oder Beschwerden über Bettwanzen.
Wer die aktuelle Phishing-Kampagne mit Node.js-Trojanern für sein Hotel bewerten will, findet in diesem Report die wichtigsten Abwehr-Hebel – von Mitarbeiter-Schulung bis Blockchain-Malware-Erkennung. Jetzt kostenlosen Schutz-Report anfordern
Blockchain-Technologie als Steuerungsinstrument
Seit Ende Mai 2026 zielt ein Ableger der Kampagne speziell auf Booking.com-Partner in Japan. Hier kommt der Trojaner TONResolver zum Einsatz – eine Node.js-Anwendung mit virtueller Verschleierung.
Seine Besonderheit: Er nutzt die TON-Blockchain (The Open Network) zur Steuerung. Ein Smart Contract fungiert als „toter Briefkasten" für Server-Adressen. Herkömmliche Sicherheitslösungen können diese Methode kaum blockieren.
Neben Japan sind Hotels in Deutschland, Italien, Großbritannien und den USA betroffen.
Was die Angreifer nach der Infektion tun
Hotels, die bereits verdächtige Gästebeschwerden erhalten haben, brauchen jetzt einen klaren Plan zur Trojaner-Entfernung – bevor die Blockchain-gesteuerte Malware dauerhaften Zugriff auf Gästedaten erlangt. Dieser Leitfaden liefert eine Schritt-für-Schritt-Entfernungsanleitung und Sicherheits-Checkliste. Node.js-Trojaner-Entfernungsleitfaden jetzt sichern
Die genauen Ziele sind noch unklar. Beobachtet wurden:
- Endgeräte-Analyse und Ausführung beliebiger JavaScript- und PowerShell-Befehle
- Diebstahl von Browser-Passwörtern und Zugriff auf den „lsass.exe"-Prozess für Anmeldedaten
- Einsatz von automatisierten Browsern (Headless) und erzwungene Systemabschaltungen
Zwar gibt es bislang keine bestätigten Fälle von Datendiebstahl oder Erpressungssoftware. Doch der dauerhafte Zugriff auf Hotelsysteme birgt erhebliche Risiken für Betriebsabläufe und Gästedaten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
