Nach Darstellung von Microsoft setzt die Kampagne auf einen Zustellmechanismus, den das Unternehmen als „Authentifizierungswäsche“ bezeichnet. Die E-Mails werden über autorisierte Infrastruktur von Calendly verschickt und bestehen deshalb bei direkter Zustellung SPF-, DKIM- und DMARC-Prüfungen. Diese Prüfungen bestätigen laut Microsoft nur, dass der Absender zum Versand berechtigt ist, nicht aber den Zweck der Nachricht.
Anschließend führt eine mehrstufige Kette das Ziel über einen Calendly-Link, dann über share.google und eine Google-Weiterleitung zu einer frisch registrierten .cfd-Domain, die hinter Cloudflare liegt. Dort wartet eine Turnstile-Abfrage, die zugleich der Erkennung und Erschwerung von Analysen dient. Danach lädt das Opfer eine Datei mit dem Muster „photo-<Zahlen>.zip“ herunter.
Im Archiv liegt eine Verknüpfung, die sich als Bilddatei tarnt. In der ersten Welle hieß sie „IMG-<Zahlen>.png.lnk“, in der zweiten „PHOTO-<Zahlen>.png.lnk“. Wird sie geöffnet, startet PowerShell. Das Skript dekodiert mit BigInt-Arithmetik eine versteckte Download-Adresse, lädt eine .ps1-Datei nach %TEMP% und kopiert anschließend eine legitime Node.js-Laufzeitumgebung in Version 24.13.0 von nodejs.org in den Benutzerkontext. Darüber wird dann das JavaScript-Implantat ausgeführt; eine systemweite Node.js-Installation ist dafür nicht erforderlich.
Das Implantat wird als TonRAT verfolgt. Laut SOC Prime bezieht es seine Command-and-Control-Domains über die TON-Blockchain-API und öffnet danach einen verschlüsselten WebSocket-Kanal. Weil die Domains dynamisch beschafft werden, verlieren statische Sperrlisten an Wirksamkeit.
Nach der Kompromittierung meldete sich das Implantat an feste IP-Adressen über unübliche Ports, darunter 8443, 8445, 8453, 5555 sowie 56001 bis 56003. Auf einigen Systemen beobachtete Microsoft zudem eine Headless-Browser-Automatisierung mit den Parametern „–headless –no-sandbox“, eine Geolokalisierungsabfrage über ip-api.com und ein erzwungenes Herunterfahren per „cmd /c shutdown -s -t 0“. Bestätigten Datendiebstahl, Ransomware oder namentlich bekannte Opfer hat Microsoft nicht gemeldet.
Für die Bereinigung nennt Microsoft zwei Persistenzpfade, die beide entfernt werden müssen: einen RunOnce-Eintrag mit Verweis nach ProgramData sowie einen Node.js-Run-Schlüssel. Zusätzlich müssen die Laufzeitdateien und .js-Dateien unter AppData\Local\Nodejs gelöscht werden. Wird nur einer der Pfade beseitigt, bleibt der andere aktiv. Microsoft nennt insbesondere Rezeption, Reservierung und Front-Office-Systeme als erste Prüfbereiche.
Neu ist die Kampagne nicht vollständig. SOC Prime und ITOCHU hatten dasselbe Hotel-Phishing sowie die Kette aus LNK, PowerShell und Node.js bereits rund zwei Wochen zuvor dokumentiert; Microsoft erklärt, die eigenen Erkenntnisse stimmten mit diesen Berichten überein. Phishing im Booking-Umfeld gegen Hotelpersonal ist zudem seit Längerem ein wiederkehrendes Muster, darunter auch ClickFix-Kampagnen, die PureRAT zur Entwendung von Booking.com-Zugangsdaten ablegten.