日本のホテル業界が、ゲスト苦情を装ったルアーと、TONブロックチェーンベースのデッドドロップリゾルバという独特な耐障害性メカニズムを駆使した、高度なフィッシングおよびリモートアクセス型トロイの木馬(RAT)キャンペーンの最新標的となっています。
2026年5月下旬より、攻撃者は日本のBooking.comパートナー施設に対して、「重要:ゲスト滞在レビュー依頼」や「【重要】お客様からの重大な苦情に関するご連絡」といった件名の高度に標的化されたメールを送付しました。
メールはスタッフにハイパーリンクを通じて写真や証拠を確認するよう求めるものでした。受信者がリンクをクリックすると、画像ファイルに偽装したショートカット(LNK)を含むZIPファイルがダウンロードされます。そのLNKを実行すると多段階の感染チェーンが始動し、最終的にTONResolver(TrojanSpy.JS.TONRESOLVER.Aとして検出)と呼ばれるNode.jsベースのRATが読み込まれます。
配信手法は一様ではありません。研究者らは、Gmailを使ったバルクフィッシングと「会話型」攻撃の両方を確認しています。後者では、攻撃者がまず無害なメッセージをやり取りして信頼関係を築いた後、悪意あるリンクを送り付けます。
このキャンペーンでは、スケジューリングツールの通知機能を悪用して偽装メールを送信する手法も使用されており、SPF、DKIM、DMARCといったドメイン認証制御の有効性を低下させました。
ハイパーリンクのアンカーテキストには「Download Photos and Videos」や「証拠写真・動画を確認する」といった文言が多用されており、ゲスト対応を担うフロントスタッフへのソーシャルエンジニアリング的な圧力を高めています。

感染チェーンは、検出や持続性の除去を回避するために意図的に複雑な設計となっています。LNKはPowerShellを起動し、非常に大きな整数の演算(System.Numerics.BigIntegerを使用)によってエンコードされたドメインを再構築します。そして、User-AgentがPowerShellを示す場合にのみPS1ペイロードをリクエストし、スクリプトを画面に表示されない形で実行します。
TrendMicroがGBhackersと共有したレポートによると、攻撃者は日本のBooking.comパートナー企業の従業員を標的とし、ゲストからの苦情に見せかけたフィッシングメールを使用しているとのことです。
日本ホテル業界への標的型攻撃
PS1は%USERPROFILE%\AppData\Local\Nodejsの下にNode.jsを配置し(node.exeが存在しない場合、マルウェアは公式のNode v24.13.0ディストリビューションを取得します)、難読化されたJavaScriptペイロードをドロップしてnode.exeで起動します。

登録メールアドレスに使用されている「ghastlier」ドメインは使い捨てのメールドメインであり、長期的な継続使用が困難となっています。
同一の攻撃者(または攻撃グループ)に紐づくドメインは4つのトップレベルドメイン(TLD)グループに分類されており、いずれもリクエストに応じて同一の初期ペイロードを配信していました。
このJavaScriptはVMベースの難読化とカスタムインタープリターを実装しており、静的解析を困難にしています。
TONResolverの際立った特徴は、TonAPIを通じてアクセスするTON(The Open Network)スマートコントラクト経由でコマンド&コントロール(C&C)アドレスを解決する点にあります。
C&Cドメインをハードコーディングする代わりに、マルウェアはtonapi[.]ioを通じて公開されているスマートコントラクトのメソッド(methods/get_domain)を照会します。攻撃者はコントラクトに新しいC&Cドメインを書き込むことで、現在のC&Cがブロックまたはテイクダウンされた場合にもシームレスにサーバーを切り替えられるようにしています。

TrendMicroのテレメトリーによると、時間の経過とともに複数のドメインがコントラクトに書き込まれており、トランザクションのタイムスタンプがドメイン変更と対応していることから、攻撃者がインフラを積極的にローテーションしていることが裏付けられています。
取得したC&CにWebSocket経由で接続すると、TONResolverはECDH secp256k1鍵交換を実行し、HKDF-SHA256でAES鍵を導出して、AES-256-CBC暗号化で通信します。
確認された動作には、持続的なキープアライブPing、エンドポイントプロファイリング(ユーザー名、ホスト名、OS、CPU、メモリ、MAC、初期ドメイン引数)、そして任意のJavaScriptの実行、ファイルの取得・実行、PowerShellの実行が可能なコマンドセットが含まれます。
このRATの機能と持続性メカニズムは、後続の活動に向けた効果的な初期アクセス拠点となります。
TrendAI Vision One™ MDRは、ローカルブラウザのストアとlsass.exeを標的とした追加バイナリの後続展開を確認しています。これは認証情報窃取の試みを示す典型的な指標です。
攻撃者のワークフローは明確です。ソーシャルエンジニアリングメール → LNK実行 → 段階的PowerShell → Node.jsペイロード → TONスマートコントラクト解決 → ステルスRAT持続化 → 選択的な二次侵害、という流れで進行します。
防御担当者は、ゲスト苦情に関する添付ファイルや写真リンクを高リスクとして扱い、不審なTLDやサブドメインに対するネットワーク層の出口フィルタリングを強化し、PowerShellとnode.exeのアプリケーション許可リストを有効化し、アウトバウンドのWebSocketや異常なUser-Agent文字列を監視するとともに、TONコントラクトのトランザクションを不正利用の観点から検査することが求められます。
翻訳元: https://gbhackers.com/japan-hotel-industry-targeted/