Microsoft зафіксувала фішингову кампанію, яка з квітня 2026 року вражає готелі в Європі та Азії. Зловмисники надсилають листи від імені менеджерів бронювання через реальну інфраструктуру сповіщень Calendly, що дозволяє їм обходити захист SPF та DMARC. Скаргами на умови проживання персонал змушують перейти на сайт за капчею Cloudflare та завантажити архів з назвою “photo.zip”, що ініціює ланцюжок зараження комп’ютерів реєстратури.

Архів містить прихований ярлик, який запускає PowerShell для розгортання Node.js-імпланту TonRAT. Цей шкідливий інструмент обчислює адреси своїх серверів через API блокчейну TON, обходячи стандартні мережеві блокування. Вірус виконує приховані команди, збирає геолокаційні дані комп’ютера та може примусово його вимикати. Закріплення TonRAT відбувається одночасно в кількох гілках реєстру та папках AppData.