Siber saldırganlar, Booking.com ortaklarına yönelik yeni bir fidye yazılımı kampanyası başlattı. Trend Micro'nun araştırma birimi TrendAI tarafından Mayıs 2026'da tespit edilen saldırıda, Japon otel çalışanlarına sahte misafir şikayetleri ve değerlendirme talepleri içeren e-postalar gönderiliyor. Bu e-postalar, alıcıları kötü amaçlı dosyaları çalıştırmaya ikna ediyor.
Saldırıda kullanılan TONResolver adlı fidye yazılımı, blockchain teknolojisinden yararlanıyor. Zararlı yazılım, The Open Network (TON) blockchain platformundaki bir akıllı kontrat üzerinde barındırılıyor. Bu sayede hem ilk erişim sağlanıyor hem de komut çalıştırma için bir zemin oluşturuluyor. TrendAI raporuna göre, bu saldırının ardından kimlik avı ve daha fazla sistem ele geçirme girişimleri de gözlemlenmiş.
Saldırganlar, e-posta başlığında 'Önemli: Misafir Değerlendirme Talebi' gibi Japonca ifadeler kullanarak hedef kitleyi yanıltıyor. E-postalardaki bağlantılar, şüpheli bir web sitesine yönlendiriyor ve aynı anda bir ZIP dosyası indiriyor. ZIP dosyasının içinde, fotoğraf gibi görünen bir kısayol dosyası (LNK) bulunuyor. Bu dosya, PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı uzaktan erişim truva atını (RAT) yüklüyor.
Saldırı yalnızca Japonya ile sınırlı kalmıyor; Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, İngiltere ve ABD'deki Booking.com ortaklarına da İngilizce e-postalar gönderiliyor. Ancak Japon otelleri ana hedef konumunda. TrendAI, bu e-postaların bir zamanlama aracının bildirim özelliği kullanılarak gönderildiğini, bu sayede SPF, DKIM ve DMARC gibi geleneksel e-posta güvenlik kontrollerini atlattığını belirtiyor.