El actor de amenazas conocido como TA558 se ha atribuido a una nueva serie de ataques que lanzan varios troyanos de acceso remoto (RAT), como Venom RAT, para atacar hoteles en Brasil y en los mercados de habla hispana.
El proveedor ruso de ciberseguridad Kaspersky está rastreando la actividad, observada en el verano de 2025, hasta un clúster al que rastrea como RevengeHotels.
«Los actores de amenazas siguen empleando correos electrónicos de suplantación de identidad con temas de facturación para entregar implantes Venom RAT a través de cargadores de JavaScript y descargadores de PowerShell», dijo la empresa dijo . «Una parte importante del código inicial de infección y descarga de esta campaña parece haber sido generado por agentes de modelos lingüísticos extensos (LLM)».
Los hallazgos demuestran una nueva tendencia entre los grupos de ciberdelincuentes a aprovechar la inteligencia artificial (IA) para impulsar su oficio.
Conocida por estar activa al menos desde 2015, RevengeHotels tiene un historial de organizaciones hoteleras, hoteleras y de viajes en América Latina con el objetivo de instalar malware en los sistemas comprometidos.
Las primeras versiones de las campañas del actor de amenazas fueron encontrado para distribuir correos electrónicos con documentos Word, Excel o PDF elaborados adjuntos, algunos de los cuales aprovechan una falla conocida de ejecución remota de código en Microsoft Office ( CVE-2017-0199 ) para activar el despliegue de Revenge RAT, njRAT, NanoCoreRAT y 888 RAT, así como de un malware personalizado llamado ProCC.
Campañas posteriores documentadas por Punto de prueba y Tecnologías positivas han demostrado la capacidad del actor de amenazas para refinar sus cadenas de ataque y ofrecer una amplia gama de RAT, como Agent Tesla, Asyncrat, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger y Vjw0rm.
El objetivo principal de los ataques es capturar datos de tarjetas de crédito de los huéspedes y viajeros almacenados en los sistemas hoteleros, así como de los datos de tarjetas de crédito recibidos de agencias de viajes en línea (OTA) populares, como Booking.com.
Según Kaspersky, las campañas más recientes incluyen el envío de correos electrónicos de suplantación de identidad escritos en portugués y español con señuelos para reservas de hotel y solicitudes de empleo para engañar a los destinatarios para que hagan clic en enlaces fraudulentos, lo que resulta en la descarga de una carga útil de JavaScript de WScript.
«El script parece estar generado por un modelo de lenguaje grande (LLM), como lo demuestra su código muy comentado y un formato similar a los producidos por este tipo de tecnología», dijo la empresa. «La función principal del script es cargar los scripts posteriores que faciliten la infección».
Esto incluye un script de PowerShell que, a su vez, recupera un descargador llamado "cargajecerrr.txt" de un servidor externo y lo ejecuta a través de PowerShell. El descargador, como su nombre indica, obtiene dos cargas útiles adicionales: un cargador que se encarga de lanzar el malware Venom RAT.
Basado en el Quasar RAT de código abierto, RATA venenosa es una herramienta comercial que se ofrece por 650 dólares por una licencia de por vida. Una suscripción de un mes que incluye el malware con los componentes HVNC y Stealer cuesta 350 dólares.
El malware está equipado para extraer datos, actuar como un proxy inverso y cuenta con un mecanismo de protección antimuerte para garantizar que se ejecute de forma ininterrumpida. Para ello, modifica la lista de control de acceso discrecional (DACL) asociada al proceso en ejecución para eliminar cualquier permiso que pudiera interferir con su funcionamiento y termina cualquier proceso en ejecución que coincida con alguno de los procesos codificados.
«El segundo componente de esta medida antimuerte consiste en un subproceso que ejecuta un bucle continuo y comprueba la lista de procesos en ejecución cada 50 milisegundos», afirma Kaspersky.
«El bucle se dirige específicamente a los procesos que suelen utilizar los analistas de seguridad y los administradores de sistemas para supervisar la actividad del host o analizar los archivos binarios.NET, entre otras tareas. Si la RAT detecta alguno de estos procesos, lo finalizará sin avisar al usuario».
La función antibloqueo también viene equipada con la capacidad de configurar la persistencia en el host mediante modificaciones del Registro de Windows y volver a ejecutar el malware cada vez que el proceso asociado no se encuentre en la lista de procesos en ejecución.
Si el malware se ejecuta con privilegios elevados, procede a configurar el Privilegio SeDebug se identifica y se marca a sí mismo como un proceso crítico del sistema, lo que permite que persista incluso cuando se intenta terminar el proceso. También obliga a que la pantalla del ordenador permanezca encendida e impide que entre en modo de suspensión.
Por último, los artefactos RAT de Venom incorporan la capacidad de propagarse a través de unidades USB extraíbles y terminar el proceso asociado con el antivirus Microsoft Defender, además de alterar el programador de tareas y el registro para deshabilitar el programa de seguridad.
«RevengeHotels ha mejorado significativamente sus capacidades, desarrollando nuevas tácticas para dirigirse a los sectores de la hospitalidad y el turismo», afirma Kaspersky. «Con la ayuda de los agentes de LLM, el grupo ha podido generar y modificar sus señuelos de suplantación de identidad, ampliando sus ataques a nuevas regiones».