Microsoft waarschuwt voor een malwarecampagne die zich gericht op hotels richt, ook in Nederland. De aanvallers doen zich per e-mail voor als een ontevreden gast of een bezorgde Booking-manager, en verleiden baliemedewerkers om een nep-fotobestand te openen. Dat is geen technische uitbuiting van een lek, maar een aanval op de reflex van gastvrij personeel om snel te reageren op een klacht. Juist daarom is dit relevant voor de hele Nederlandse hospitality en voor elk MKB-bedrijf met een drukke, behulpzame frontoffice.
Hoe de aanval werkt
De campagne loopt volgens Microsoft al sinds april 2026 en treft de horeca in Europa en Azie, met lokvogels in onder meer het Nederlands, Deens en Japans. De thema's spelen feilloos in op het werk van een receptie: een klacht over bedwantsen, een vraag over de kamerstaat, een negatieve review. De afzender heet vaak "Booking Manager (via Calendly)". Dat laatste is geen toeval: de aanvallers sturen hun mail via de echte infrastructuur van Calendly en Google-redirects, waardoor de berichten gewoon door SPF, DKIM en DMARC heen komen en in de inbox belanden alsof ze legitiem zijn.
Klikt een medewerker door, dan volgt een ZIP-bestand met een naam als photo-1234.zip. Daarin zitten Windows-snelkoppelingen die zijn vermomd als foto's, met namen als IMG-1234.png.lnk. Omdat Windows bekende bestandsextensies standaard verbergt, ziet de medewerker alleen een afbeelding. Openen start verborgen PowerShell, die uiteindelijk een implant installeert dat Microsoft TonRAT noemt en zijn aanstuurservers via de TON-blockchain ophaalt, zodat het lastiger te blokkeren is. Het resultaat: blijvende toegang tot het systeem achter de balie. Microsoft heeft de campagne niet aan een bekende groep toegeschreven en het uiteindelijke doel is nog onduidelijk.

Een patroon dat je vaker ziet
De truc is bekender dan hij lijkt. Een nep-fotobestand is dezelfde misleiding als de WhatsApp-campagne die nep-bedrijfsdocumenten gebruikt om pc's volledig over te nemen: een vertrouwd ogend bestand dat in werkelijkheid een script start. Wat deze aanval extra venijnig maakt, is dat de afzender alle technische controles doorstaat. Een medewerker die is getraind om "op het slotje en de afzender te letten", ziet hier niets verdachts.
Dat is precies waarom phishingverdediging begint bij je proces en niet bij je software. Geen enkel filter vangt alles, zeker niet als de mail via legitieme diensten als Calendly wordt witgewassen. De vraag is niet of een medewerker ooit op zo'n bestand klikt, maar wat er daarna gebeurt.
Wat dit voor jou betekent
Draai je een hotel, of een ander bedrijf met een frontoffice die de hele dag onbekende bijlagen ontvangt, dan zijn er een paar concrete dingen te doen:
- Zet bestandsextensies aan. Een .lnk die zich voordoet als .png valt direct op zodra Windows de echte extensie toont. Dit is een gratis instelling met groot effect.
- Maak het melden makkelijker dan het openen. Een baliemedewerker moet een verdachte "gastklacht" in twee klikken kunnen doorzetten naar wie ernaar kijkt, zonder gedoe of schuldgevoel.
- Wantrouw ook bekende afzenders. Een bericht dat via Calendly of Booking lijkt te komen, kan alsnog vals zijn. Verifieer een onverwachte klacht via een tweede kanaal voordat je een bijlage opent.
- Loop je basis na. De cybersecurity-basischeck in vijf lagen voor het MKB helpt je systematisch te kijken naar toegang, herstel en detectie.
De kern is niet om je personeel banger te maken, maar je proces robuuster. Een gastvrije medewerker die snel reageert op een klacht is een kwaliteit, geen kwetsbaarheid. Zorg dus dat een verkeerde klik op een nep-foto een ongemak blijft, en niet de toegang tot je hele systeem.
Veelgestelde vragen
Veilig proces, niet alleen software
Ik help je werkprocessen en systemen zo ontwerpen dat een verkeerde klik geen ramp wordt, van meedenken en ontwerp tot bouwen, koppelen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
