El actor de amenaza conocido como TA558 se ha atribuido a un nuevo conjunto de ataques que ofrecen varios troyanos de acceso remoto (ratas) como Venom Rat para violar los hoteles en Brasil y los mercados de habla hispana.
El proveedor de ciberseguridad ruso Kaspersky está rastreando la actividad, observada en el verano de 2025, a un clúster que rastrea como venganza.
«Los actores de amenaza continúan empleando correos electrónicos de phishing con temas de factura para entregar implantes de rata Venom a través de JavaScript Loaders y PowerShell Descargers», la compañía dicho. «Una parte significativa del código inicial de infección y descargador en esta campaña parece ser generada por los agentes del modelo de idioma grande (LLM)».
Los hallazgos demuestran una nueva tendencia entre los grupos cibercriminales para aprovechar la inteligencia artificial (IA) para reforzar su artesanía.
Conocido por estar activo desde al menos 2015, RevengeHotels tiene un historial de hospitalidad, hotel y organizaciones de viajes en América Latina con el objetivo de instalar malware en sistemas comprometidos.
Las primeras iteraciones de las campañas de la amenaza del actor fueron encontró Para distribuir correos electrónicos con documentos de palabras, Excel o PDF adjuntos, algunos de los cuales explotan una falla de ejecución de código remoto conocido en Microsoft Office (CVE-2017-0199) Para activar el despliegue de venganza rata, njrat, nanocorerat y 888 rat, así como una pieza de malware personalizado llamado PROCC.
Campañas posteriores documentadas por Punto de prueba y Tecnologías positivas han demostrado la capacidad del actor de amenaza para refinar sus cadenas de ataque para entregar una amplia gama de ratas como el agente Tesla, Asyncrat, Formbook, Guloader, Loda Rat, Lokibot, Remcos Rat, Snake Keylogger y VJW0RM.
El objetivo principal de los ataques es capturar datos de tarjetas de crédito De los invitados y viajeros almacenados en sistemas hoteleros, así como datos de tarjetas de crédito recibidos de agencias de viajes en línea populares (OTA) como Booking.com.
Según Kaspersky, las últimas campañas implican enviar correos electrónicos de phishing escritos en la reserva de hoteles portugues y españolas y los señuelos de la solicitud de empleo para engañar a los destinatarios para que haga clic en enlaces fraudulentos, lo que resulta en la descarga de una carga útil de JavaScript WSCRIPT.
«El script parece ser generado por un modelo de lenguaje grande (LLM), como lo demuestra su código muy comentado y un formato similar al producido por este tipo de tecnología», dijo la compañía. «La función principal del script es cargar scripts posteriores que faciliten la infección».
Esto incluye un script de PowerShell, que, a su vez, recupera un descargador llamado «Cargajecerrr.txt» de un servidor externo y lo ejecuta a través de PowerShell. El descargador, como lo indica el nombre, obtiene dos cargas útiles adicionales: un cargador responsable de lanzar el malware de Venom Rat.
Basado en la rata cuásar de código abierto, Rata de veneno es una herramienta comercial que se ofrece por $ 650 por una licencia de por vida. Una suscripción de un mes que abarca el malware con componentes HVNC y Stealer cuesta $ 350.
El malware está equipado para los datos del sifón, actúa como un proxy inverso y presenta un mecanismo de protección anti-asesinato para garantizar que se ejecute ininterrumpido. Para lograr esto, modifica la lista de control de acceso discrecional (DACL) asociada con el proceso de ejecución para eliminar cualquier permiso que pueda interferir con su funcionamiento, y termina cualquier proceso de ejecución que coincida con cualquiera de los procesos codificados.
«El segundo componente de esta medida anti-mata implica un hilo que ejecuta un bucle continuo, verificando la lista de procesos de ejecución cada 50 milisegundos», dijo Kaspersky.
«El bucle se dirige específicamente a los procesos comúnmente utilizados por los analistas de seguridad y los administradores del sistema para monitorear la actividad del host o analizar los binarios de .NET, entre otras tareas. Si la rata detecta cualquiera de estos procesos, los terminará sin pedirle al usuario».
La función anti-asesinatos también viene equipada con la capacidad de configurar la persistencia en el host utilizando modificaciones del registro de Windows y volver a ejecutar el malware cada vez que el proceso asociado no se encuentra en la lista de procesos de ejecución.
Si el malware se ejecuta con privilegios elevados, procede a establecer el Sedebugurilegio Token y se marcan como un proceso de sistema crítico, lo que le permite persistir incluso cuando hay un intento de terminar el proceso. También obliga a la pantalla de la computadora a permanecer encendida y evita que ingrese al modo de suspensión.
Por último, los artefactos de rata Venom incorporan capacidades para extenderse a través de unidades USB extraíbles y terminan el proceso asociado con el antivirus de defensor de Microsoft, así como al manipular el programador de tareas y el registro para deshabilitar el programa de seguridad.
«RevengeHotels ha mejorado significativamente sus capacidades, desarrollando nuevas tácticas para apuntar a los sectores de hospitalidad y turismo», dijo Kaspersky. «Con la ayuda de los agentes de LLM, el grupo ha podido generar y modificar sus señuelos de phishing, ampliando sus ataques a nuevas regiones».
Fuente