O grupo de ameaça conhecido como TA558 está por trás de uma nova série de ataques que utilizam diversos remote access trojans (RATs), como o Venom RAT, para invadir redes de hotéis no Brasil e em países de língua espanhola.
A empresa russa de cibersegurança Kaspersky acompanha essa atividade, observada no verão de 2025, e a classifica como RevengeHotels.
"Os atacantes continuam usando e-mails de phishing com temas de faturas para entregar implantes do Venom RAT por meio de carregadores em JavaScript e downloaders em PowerShell", afirmou a Kaspersky.
"Uma parte significativa do código inicial de infecção e downloader nesta campanha parece ter sido gerada por agentes de large language model (LLM)."
Esses achados revelam uma nova tendência entre grupos cibercriminosos: a utilização de inteligência artificial (IA) para aprimorar suas técnicas de ataque.
Ativa pelo menos desde 2015, a RevengeHotels possui um histórico de ataques voltados ao setor de hotelaria e turismo na América Latina, com o objetivo principal de instalar malware em sistemas comprometidos.
Nas primeiras campanhas, os ataques se davam por meio de e-mails contendo documentos Word, Excel ou PDF maliciosos, alguns explorando uma falha conhecida de execução remota de código no Microsoft Office (
CVE-2017-0199
).
Essa vulnerabilidade permitia a implantação de RATs como Revenge RAT, NjRAT, NanoCoreRAT, 888 RAT, além de um malware customizado chamado ProCC.
Campanhas posteriores, documentadas por empresas como Proofpoint e Positive Technologies, mostraram a evolução do grupo em refinar suas cadeias de ataque para distribuir uma variedade ainda maior de RATs, incluindo Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger e Vjw0rm.
O principal objetivo desses ataques é captar dados de cartão de crédito de hóspedes e viajantes armazenados nos sistemas dos hotéis, além de informações obtidas por meio de agências de viagem online (OTAs) populares, como o Booking[.]com.
Segundo a Kaspersky, as campanhas mais recentes envolvem o envio de e-mails de phishing redigidos em português e espanhol, com iscas relacionadas a reservas de hotéis e processos seletivos.
Essas mensagens induzem os destinatários a clicarem em links fraudulentos que baixam um payload em WScript JavaScript.
"O script aparenta ter sido gerado por um large language model (LLM), o que fica evidente pelo código amplamente comentado e pelo formato semelhante ao produzido por essa tecnologia", explicou a Kaspersky.
"A função principal do script é carregar scripts subsequentes que facilitam a infecção."
Entre esses scripts está um código em PowerShell que, por sua vez, busca um downloader chamado "cargajecerrr.txt" hospedado em um servidor externo, executando-o via PowerShell.
Esse downloader baixa dois payloads adicionais, incluindo um loader responsável por ativar o malware Venom RAT.
Baseado no open-source Quasar RAT, o Venom RAT é uma ferramenta comercial vendida por US$ 650 na licença vitalícia, enquanto uma assinatura mensal, que inclui componentes HVNC e Stealer, sai por US$ 350.
O malware é capaz de extrair dados, atuar como um proxy reverso e possui um mecanismo anti-kill para garantir sua execução contínua.
Para isso, ele modifica a Discretionary Access Control List (DACL) do processo em execução, removendo permissões que possam interferir em seu funcionamento, além de encerrar automaticamente qualquer processo que corresponda a uma lista fixa de alvos.
"A segunda camada dessa proteção anti-kill consiste em uma thread que executa um loop contínuo, verificando a lista de processos em execução a cada 50 milissegundos", detalhou a Kaspersky.
"Esse loop mira especificamente em programas usados por analistas de segurança e administradores, como ferramentas para monitoramento de hosts ou análise de binários .NET.
Quando detecta qualquer um desses processos, o Venom RAT os encerra sem qualquer aviso ao usuário."
Esse recurso anti-kill também inclui a capacidade de garantir persistência no sistema via modificações no Registro do Windows, reiniciando o malware sempre que o processo não estiver em execução.
Se o malware for executado com privilégios elevados, ele ativa o token SeDebugPrivilege e se marca como um processo crítico do sistema.
Isso faz com que ele permaneça ativo mesmo que haja tentativas de encerramento forçado.
Além disso, o Venom RAT força a tela do computador a permanecer ligada e impede que o dispositivo entre em modo de suspensão.
Por fim, o Venom RAT possui funcionalidades para se propagar via drives USB removíveis, encerrar o processo do Microsoft Defender Antivirus e alterar o agendador de tarefas e o Registro do Windows para desabilitar o programa de segurança.
"RevengeHotels aprimorou significativamente suas capacidades e desenvolveu novas táticas para atacar os setores de hotelaria e turismo", concluiu a Kaspersky.
"Com o auxílio dos agentes LLM, o grupo tem sido capaz de criar e modificar suas iscas de phishing, ampliando o alcance de seus ataques para novas regiões."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...