У 2025 році група TA558, пов’язана з кластером RevengeHotels, розпочала нову серію кібератак на готельний бізнес у Бразилії та іспаномовних країнах. Використовуючи AI-згенеровані скрипти, хакери поширюють Venom RAT для викрадення даних і обходу захисних систем.
Згідно з аналітикою Kaspersky, атаки відбуваються через фішингові листи з темами рахунків і бронювань. Завантажувачі у вигляді JavaScript і PowerShell отримують файли з віддалених серверів, серед яких головний шкідливий код — Venom RAT. Цей інструмент, побудований на базі Quasar RAT, коштує $650 за «довічну ліцензію» й пропонується в пакетах із HVNC та Stealer-компонентами.
Venom RAT оснащений широким набором можливостей: від збору даних і використання інфікованого комп’ютера як проксі до анти-kill захисту, що видаляє права доступу, завершує процеси аналітиків та блокує Microsoft Defender. Крім того, він поширюється через USB-носії, змінює реєстр Windows і вміє встановлювати себе як критичний системний процес для збереження роботи навіть після спроб завершення.
Група RevengeHotels діє щонайменше з 2015 року, атакуючи туристичні та готельні організації Латинської Америки. Раніше зловмисники використовували заражені документи Word, Excel і PDF, експлуатуючи вразливості на кшталт CVE-2017-0199. У їхньому арсеналі були Revenge RAT, NjRAT, NanoCoreRAT, Agent Tesla, AsyncRAT, LokiBot, Remcos RAT та інші. Основна мета атак незмінна — викрадення банківських карткових даних клієнтів готелів і туристичних сервісів, включно з Booking.com.
Атаки TA558 демонструють, що кіберзлочинці активно інтегрують штучний інтелект у власну діяльність, автоматизуючи створення скриптів і фішингових приманок. Для готельної та туристичної індустрії це сигнал про необхідність посилення багаторівневого захисту, включно з поштовими фільтрами, поведінковою аналітикою та моніторингом аномальної активності на хостах.
