El actor de amenaza conocido como TA558 se ha atribuido a un nuevo conjunto de ataques que ofrecen varios troyanos de acercamiento remoto (ratas) como Venom Rat para violar los hoteles en Brasil y los mercados de deje hispana.
El proveedor de ciberseguridad ruso Kaspersky está rastreando la actividad, observada en el verano de 2025, a un clúster que rastrea como venganza.
“Los actores de amenaza continúan empleando correos electrónicos de phishing con temas de hechura para entregar implantes de rata Venom a través de JavaScript Loaders y PowerShell Descargers”, dijo la compañía. “Una parte significativa del código auténtico de infección y descargador en esta campaña parece ser generada por los agentes del maniquí de idioma ilustre (LLM)”.
Los hallazgos demuestran una nueva tendencia entre los grupos cibercriminales para explotar la inteligencia sintético (IA) para reanimar su artesanía.
Conocido por estar activo desde al menos 2015, RevengeHotels tiene un historial de hospitalidad, hotel y organizaciones de viajes en América Latina con el objetivo de instalar malware en sistemas comprometidos.
Se descubrió que las primeras iteraciones de las campañas del actor de amenaza distribuyen correos electrónicos con documentos de palabras, Excel o PDF diseñadas, algunas de las cuales explotan una defecto de ejecución de código remoto conocido en Microsoft Office (CVE-2017-0199) para desencadenar el despliegue de Rata Revenge, NJRAT, Nanocorerat y 888 RAT, así como una estancia de Malware de la costumbre.
Las campañas posteriores documentadas por Proofpoint y las tecnologías positivas han demostrado la capacidad del actor de amenaza de refinar sus motos de ataque para ofrecer una amplia grado de ratas como el Agente Tesla, Asyncrat, Formbook, Guloader, Loda Rat, Lokibot, Remcos Rat, Snake Keylogger y VJW0RM.
El objetivo principal de los ataques es capturar datos de tarjetas de crédito de invitados y viajeros almacenados en sistemas hoteleros, así como datos de tarjetas de crédito recibidos de agencias de viajes en linde populares (OTA) como Booking.com.
Según Kaspersky, las últimas campañas implican expedir correos electrónicos de phishing escritos en la reserva de hoteles portugues y españolas y los señuelos de la solicitud de empleo para engañar a los destinatarios para que haga clic en enlaces fraudulentos, lo que resulta en la descarga de una carga útil de JavaScript WSCRIPT.
“El script parece ser generado por un maniquí de idioma ilustre (LLM), como lo demuestra su código muy comentado y un formato similar al producido por este tipo de tecnología”, dijo la compañía. “La función principal del script es cargar scripts posteriores que faciliten la infección”.
Esto incluye un script de PowerShell, que, a su vez, recupera un descargador llamado “Cargajecerrr.txt” de un servidor extranjero y lo ejecuta a través de PowerShell. El descargador, como lo indica el nombre, obtiene dos cargas bártulos adicionales: un cargador responsable de editar el malware de Venom Rat.
Basado en la rata Radiofuente de código franco, Venom Rat es una útil comercial que se ofrece por $ 650 por una atrevimiento de por vida. Una suscripción de un mes que zapatilla el malware con componentes HVNC y Stealer cuesta $ 350.
El malware está equipado para los datos del sifón, actúa como un proxy inverso y presenta un mecanismo de protección anti-asesinato para certificar que se ejecute ininterrumpido. Para conquistar esto, modifica la nómina de control de acercamiento discrecional (DACL) asociada con el proceso de ejecución para eliminar cualquier permiso que pueda interferir con su funcionamiento, y termina cualquier proceso de ejecución que coincida con cualquiera de los procesos codificados.
“El segundo componente de esta medida anti-mata implica un hilo que ejecuta un rizo continuo, verificando la nómina de procesos de ejecución cada 50 milisegundos”, dijo Kaspersky.
“El rizo se dirige específicamente a los procesos comúnmente utilizados por los analistas de seguridad y los administradores del sistema para monitorear la actividad del host o analizar los binarios de .NET, entre otras tareas. Si la rata detecta cualquiera de estos procesos, los terminará sin pedirle al heredero”.
La función anti-asesinatos asimismo viene equipada con la capacidad de configurar la persistencia en el host utilizando modificaciones del registro de Windows y retornar a ejecutar el malware cada vez que el proceso asociado no se encuentra en la nómina de procesos de ejecución.
Si el malware se ejecuta con privilegios elevados, procede a establecer el token Sedebugurilege y se marca como un proceso de sistema crítico, lo que le permite persistir incluso cuando hay un intento de terminar el proceso. Todavía obliga a la pantalla de la computadora a permanecer encendida y evita que ingrese al modo de suspensión.
Por postrer, los artefactos de rata Venom incorporan capacidades para tumbarse a través de unidades USB extraíbles y terminan el proceso asociado con el antivirus de defensor de Microsoft, así como al manipular el programador de tareas y el registro para deshabilitar el software de seguridad.
“RevengeHotels ha mejorado significativamente sus capacidades, desarrollando nuevas tácticas para apuntar a los sectores de hospitalidad y turismo”, dijo Kaspersky. “Con la ayuda de los agentes de LLM, el clase ha podido ocasionar y modificar sus señuelos de phishing, ampliando sus ataques a nuevas regiones”.
