Ресерчеры из Лаборатории Касперского раскрывают новую волну атак RevengeHotels с использованием LLM и VenomRAT, частной версии QuasarRAT с открытым исходным кодом.

Группа, также известная как TA558, действует с 2015 года и занимается кражей данных кредитных карт гостей отелей и путешественников.

Основной метод работы заключается в отправке электронных писем с фишинговыми ссылками, которые перенаправляют жертв на веб-сайты, имитирующие хранилища документов и загружающие файлы скриптов для заражения целевых компьютеров.

В конечном итоге вредоносная нагрузка включает в себя различные RAT, которые позволяют злоумышленникам осуществлять управление скомпрометированными системами, кражу конфиденциальных данных, а также выполнять другие вредоносные действия.

В предыдущих кампаниях группа задействовала вредоносные электронные письма с вложенными документами Word, Excel или PDF.

Некоторые из них эксплуатировали уязвимость CVE-2017-0199, загружая скрипты VBS или PowerShell для установки модифицированных версий различных семейств RAT, таких как RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT и вредоносного ПО ProCC.

Эти кампании затронули отели во многих странах Латинской Америки, включая Бразилию, Аргентину, Чили и Мексику, а также службы регистрации и обслуживания гостей по всему миру, особенно в России, Беларуси, Турции и других странах.

Позже RevengeHotels расширила свой арсенал, добавив XWorm - RAT с командами для управления, кражи данных и сохранения активности, среди прочего.

В ходе расследования кампании по распространению XWorm исследователи ЛК выявили достоверные признаки того, что RevengeHotels также использовала RAT-инструмент DesckVBRAT в своих операциях.

Летом 2025 года в поле зрения ЛК попали новые кампании, нацеленные на тот же сектор с использованием всё более сложных имплантов и инструментов.

Злоумышленники продолжают использовать фишинговые письма с темами счетов-фактур для доставки имплантов VenomRAT через загрузчики JavaScript и PowerShell.

Значительная часть исходного кода вредоноса и загрузчика в этой кампании, по-видимому, сгенерирована LLM-агентами. Так что злоумышленники теперь активно используют ИИ для совершенствования своих возможностей.

Основными целями новых атак являются бразильский гостининичный сектор, но также может включать цели в испаноязычных странах или регионах.

Благодаря всестороннему анализу схем атак и TTPs злоумышленника исследователи ЛК с высокой степенью уверенности установили, что ответственным за них действительно является RevengeHotels.

В целом, как отмечают исследователи, с помощью агентов LLM группа смогла создавать и модифицировать фишинговые приманки, расширяя свои атаки на новые регионы.

И, если веб-сайты, используемые для этих атак, и начальная полезная нагрузка постоянно меняются, то конечная цель остаётся прежней: внедрение RAT.

Технический разбор атак и инструментария, а также IOCs - в отчете.