Al vier jaar lang infecteert Darkhotel dergelijke netwerken. Aanvallers hoeven alleen maar te wachten tot een CEO de wifi van het hotel gaat gebruiken, waarvoor diegene zijn kamernummer en achternaam moet opgeven.

Vervolgens wordt de nietsvermoedende persoon updates aangeboden voor software als Google Toolbar, Adobe Flash of Windows Messenger. 

Backdoor

In werkelijkheid wordt er echter een backdoor mee geïnstalleerd. De malware gaat vervolgens onder meer op zoek naar inloggegevens en houdt toetsaanslagen bij.

De data die daarmee wordt buitgemaakt is extra gevoelig, omdat het vaak om informatie gaat die aan bedrijven verbonden is. Darkhotel is niet altijd gericht op een specifiek iemand, maar wordt ook wel willekeurig verspreid.

Verdacht

Kapersky Lab raadt reizende directeuren aan een VPN op te zetten wanneer in hotels internet gebruikt moet worden, en software-updates die juist op dat moment worden aangeboden altijd als verdacht te zien.

Darkhotel is nog steeds actief. Daarom werkt Kapersky samen met de hotels die door de jaren heen geïnfecteerd zijn, om de wifi-netwerken veiliger te maken. De malware is mogelijk van Koreaanse komaf. Vooral Amerikaanse en Aziatische CEO's zijn het doelwit gebleken.