El actor de amenaza conocido como TA558 se ha atribuido a un nuevo conjunto de ataques que ofrecen varios troyanos de camino remoto (ratas) como Venom Rat para violar los hoteles en Brasil y los mercados de palabra hispana.
El proveedor de ciberseguridad ruso Kaspersky está rastreando la actividad, observada en el verano de 2025, a un clúster que rastrea como venganza.
«Los actores de amenaza continúan empleando correos electrónicos de phishing con temas de nota para entregar implantes de rata Venom a través de JavaScript Loaders y PowerShell Descargers», dijo la compañía. «Una parte significativa del código auténtico de infección y descargador en esta campaña parece ser generada por los agentes del maniquí de idioma prócer (LLM)».
Los hallazgos demuestran una nueva tendencia entre los grupos cibercriminales para servirse la inteligencia sintético (IA) para alentar su artesanía.
Conocido por estar activo desde al menos 2015, RevengeHotels tiene un historial de hospitalidad, hotel y organizaciones de viajes en América Latina con el objetivo de instalar malware en sistemas comprometidos.
Se descubrió que las primeras iteraciones de las campañas del actor de amenaza distribuyen correos electrónicos con documentos de palabras, Excel o PDF diseñadas, algunas de las cuales explotan una descompostura de ejecución de código remoto conocido en Microsoft Office (CVE-2017-0199) para desencadenar el despliegue de Rata Revenge, NJRAT, Nanocorerat y 888 RAT, así como una cuchitril de Malware de la costumbre.
Las campañas posteriores documentadas por Proofpoint y las tecnologías positivas han demostrado la capacidad del actor de amenaza de refinar sus motos de ataque para ofrecer una amplia gradación de ratas como el Agente Tesla, Asyncrat, Formbook, Guloader, Loda Rat, Lokibot, Remcos Rat, Snake Keylogger y VJW0RM.
El objetivo principal de los ataques es capturar datos de tarjetas de crédito de invitados y viajeros almacenados en sistemas hoteleros, así como datos de tarjetas de crédito recibidos de agencias de viajes en camino populares (OTA) como Booking.com.
Según Kaspersky, las últimas campañas implican cursar correos electrónicos de phishing escritos en la reserva de hoteles portugues y españolas y los señuelos de la solicitud de empleo para engañar a los destinatarios para que haga clic en enlaces fraudulentos, lo que resulta en la descarga de una carga útil de JavaScript WSCRIPT.
«El script parece ser generado por un maniquí de verbo prócer (LLM), como lo demuestra su código muy comentado y un formato similar al producido por este tipo de tecnología», dijo la compañía. «La función principal del script es cargar scripts posteriores que faciliten la infección».
Esto incluye un script de PowerShell, que, a su vez, recupera un descargador llamado «Cargajecerrr.txt» de un servidor forastero y lo ejecuta a través de PowerShell. El descargador, como lo indica el nombre, obtiene dos cargas avíos adicionales: un cargador responsable de propalar el malware de Venom Rat.
Basado en la rata Radiofuente de código descubierto, Venom Rat es una utensilio comercial que se ofrece por $ 650 por una deshonestidad de por vida. Una suscripción de un mes que zapatilla el malware con componentes HVNC y Stealer cuesta $ 350.
El malware está equipado para los datos del sifón, actúa como un proxy inverso y presenta un mecanismo de protección anti-asesinato para avalar que se ejecute ininterrumpido. Para ganar esto, modifica la tira de control de camino discrecional (DACL) asociada con el proceso de ejecución para eliminar cualquier permiso que pueda interferir con su funcionamiento, y termina cualquier proceso de ejecución que coincida con cualquiera de los procesos codificados.
«El segundo componente de esta medida anti-mata implica un hilo que ejecuta un tirabuzón continuo, verificando la tira de procesos de ejecución cada 50 milisegundos», dijo Kaspersky.
«El tirabuzón se dirige específicamente a los procesos comúnmente utilizados por los analistas de seguridad y los administradores del sistema para monitorear la actividad del host o analizar los binarios de .NET, entre otras tareas. Si la rata detecta cualquiera de estos procesos, los terminará sin pedirle al afortunado».
La función anti-asesinatos asimismo viene equipada con la capacidad de configurar la persistencia en el host utilizando modificaciones del registro de Windows y retornar a ejecutar el malware cada vez que el proceso asociado no se encuentra en la tira de procesos de ejecución.
Si el malware se ejecuta con privilegios elevados, procede a establecer el token Sedebugurilege y se marca como un proceso de sistema crítico, lo que le permite persistir incluso cuando hay un intento de terminar el proceso. Igualmente obliga a la pantalla de la computadora a permanecer encendida y evita que ingrese al modo de suspensión.
Por extremo, los artefactos de rata Venom incorporan capacidades para tenderse a través de unidades USB extraíbles y terminan el proceso asociado con el antivirus de defensor de Microsoft, así como al manipular el programador de tareas y el registro para deshabilitar el software de seguridad.
«RevengeHotels ha mejorado significativamente sus capacidades, desarrollando nuevas tácticas para apuntar a los sectores de hospitalidad y turismo», dijo Kaspersky. «Con la ayuda de los agentes de LLM, el congregación ha podido producir y modificar sus señuelos de phishing, ampliando sus ataques a nuevas regiones».
