Underc0de - La Casa de los Informáticos

El grupo de cibercrimen TA558, conocido por su rol en la campaña RevengeHotels, ha lanzado un nuevo conjunto de ataques dirigidos a hoteles en Brasil y mercados de habla hispana. Estas operaciones, activas en el verano de 2025, han sido atribuidas a la distribución de múltiples troyanos de acceso remoto (RAT), incluido Venom RAT, un malware avanzado que combina robo de información, persistencia y técnicas evasivas.

De acuerdo con el proveedor de ciberseguridad Kaspersky, los actores de amenazas continúan empleando correos electrónicos de phishing con señuelos relacionados con facturas y reservas. El objetivo: engañar a empleados de hoteles y agencias de viaje para que hagan clic en enlaces fraudulentos, lo que desencadena la cadena de infección.

Phishing con apoyo de inteligencia artificial

Uno de los hallazgos más preocupantes en esta campaña es el uso de inteligencia artificial generativa (IA) para reforzar las técnicas de ataque. Según Kaspersky, parte del código inicial de los scripts de JavaScript y PowerShell empleados en esta operación muestra características propias de haber sido generado por modelos de lenguaje grandes (LLM).

Esto marca un cambio de tendencia en el panorama de amenazas: los ciberdelincuentes no solo emplean herramientas tradicionales, sino que ahora se apoyan en IA para:

• Generar código malicioso comentado y estructurado.
• Optimizar cargas útiles para evadir defensas.
• Mejorar la redacción de correos de phishing en portugués y español.

Con esta táctica, TA558 ha conseguido ampliar su radio de acción y mejorar la efectividad de sus campañas de phishing multilingüe.

Antecedentes de RevengeHotels

El grupo RevengeHotels no es nuevo en la escena. Sus actividades se remontan a 2015, con ataques focalizados en hoteles, agencias de viajes y sectores relacionados con el turismo en América Latina.

En sus primeras campañas, el actor de amenazas utilizaba documentos adjuntos en Word, Excel o PDF que explotaban vulnerabilidades conocidas, como CVE-2017-0199 en Microsoft Office, para desplegar malware como Revenge RAT, NjRAT, NanoCoreRAT y 888 RAT.

Con el tiempo, TA558 ha perfeccionado su arsenal, incorporando herramientas como Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger y Vjw0rm, siempre con el mismo objetivo: robar datos financieros y credenciales de huéspedes y agencias de viajes en línea (OTA) como Booking.com.

Cadena de ataque actual

La campaña más reciente documentada por Kaspersky se basa en un flujo de infección de varias etapas:

• Correo de phishing en portugués o español con temática de reservas o solicitudes laborales.
• El enlace malicioso descarga un script JavaScript (WScript).
• Ese script, con un estilo de código generado por IA, carga otros scripts intermedios.
• Un script PowerShell descarga un archivo denominado cargajecerrr.txt, que actúa como descargador adicional.
• Finalmente, se ejecuta el cargador responsable de desplegar Venom RAT en el sistema de la víctima.

Venom RAT: un malware sofisticado y comercial

Venom RAT está basado en Quasar RAT de código abierto, pero es ofrecido como un producto comercial en foros clandestinos.

• Precio de licencia de por vida: 650 USD.
• Suscripción mensual con módulos HVNC y Stealer: 350 USD.

Entre sus capacidades más destacadas se incluyen:

• Robo de datos y credenciales sensibles.
• Funcionalidad de proxy inverso.
• Medidas anti-kill avanzadas, que terminan procesos de seguridad y evitan el análisis.
• Persistencia mediante modificaciones en el Registro de Windows.
• Propagación a través de dispositivos USB.
• Desactivación de Microsoft Defender Antivirus.

Medidas anti-kill y persistencia

Venom RAT incorpora un mecanismo anti-kill que refuerza su resistencia:

• Modifica la lista de control de acceso discrecional (DACL) para impedir la interrupción de su ejecución.
• Mata procesos asociados a herramientas de análisis forense y administración de sistemas.
• Mantiene un bucle activo cada 50 milisegundos para detectar y finalizar aplicaciones de seguridad en ejecución.
• Configura el malware como proceso crítico del sistema, lo que le permite sobrevivir incluso a intentos de cierre forzado.

Adicionalmente, si se ejecuta con privilegios elevados, Venom RAT obtiene el token SeDebugPrivilege, evita que el sistema entre en suspensión y manipula el programador de tareas de Windows para garantizar su permanencia.

Expansión regional y riesgos

Los hallazgos de Kaspersky indican que TA558 ha mejorado su estrategia de expansión con el uso de IA y phishing multilingüe. Esto significa que no solo Brasil está en riesgo, sino también países de habla hispana en América Latina, donde el turismo representa un sector clave de la economía.

El principal objetivo sigue siendo el mismo: robar datos de tarjetas de crédito y credenciales de sistemas hoteleros y OTA. Estos datos alimentan redes criminales dedicadas al fraude financiero y la venta de accesos en el mercado negro.

En fin...

La campaña actual de TA558 y RevengeHotels representa una evolución preocupante en los ataques contra la industria hotelera. El uso de Venom RAT junto con técnicas de phishing potenciadas por IA demuestra que los ciberdelincuentes están perfeccionando su arsenal con rapidez.

Para los hoteles y agencias de viajes en Latinoamérica, este escenario subraya la necesidad de:

• Capacitar al personal para identificar correos de phishing.
• Implementar soluciones de detección avanzada contra malware y RATs.
• Mantener parches y sistemas de seguridad actualizados.
• Monitorear accesos y transacciones financieras en busca de anomalías.

En un sector donde la confianza y los datos de clientes son esenciales, la ciberseguridad debe ser prioritaria. Con el crecimiento del turismo digital y la expansión de OTA como Booking.com, el ataque de TA558 confirma que los hoteles son un blanco estratégico para el cibercrimen global.

Fuente: https://thehackernews.com/