De dreigingsacteur bekend als TA558 is toegeschreven aan een nieuwe set aanvallen die verschillende externe toegang trojaanse paarden (ratten) leveren, zoals Venom Rat om hotels in Brazilië en Spaanstalige markten te breken.
De Russische cybersecurity -verkoper Kaspersky volgt de activiteit, waargenomen in de zomer van 2025, naar een cluster dat het volgt als wraak.
“De dreigingsacteurs blijven phishing -e -mails gebruiken met factuurthema’s om Venom Rat -implantaten te leveren via JavaScript -laders en PowerShell -downloaders,” zei het bedrijf. “Een aanzienlijk deel van de initiële infector- en downloader -code in deze campagne lijkt te worden gegenereerd door agenten van het grote taalmodel (LLM).”
De bevindingen demonstreren een nieuwe trend onder cybercriminale groepen om kunstmatige intelligentie (AI) te benutten om hun tradecraft te versterken.
Revengehotels bekend als minimaal 2015, heeft een geschiedenis van gastvrijheid, hotel- en reisorganisaties in Latijns -Amerika met als doel malware te installeren op gecompromitteerde systemen.
Vroege herhalingen van de campagnes van de dreigingsacteur werden gevonden om e-mails te verspreiden met gemaakt Word-, Excel- of PDF-documenten bijgevoegd, waarvan sommige een bekende externe code-uitvoeringsfouten exploiteren in Microsoft Office (CVE-2017-0199) om de implementatie van Revenge Rat, NJRAT, Nanocorerat, Nanocorerat, Nanocorerat, Nanocorerat, Nanocorerat, Nanocorerat, Nanocorerat, Nanocorat, Nanocorerat, Nanocorat, Nanocorat, Nanocorat, Nanocorat, Nanocorat, en 888 Rat, Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Caller Called Caller Called Procc.
Daaropvolgende campagnes gedocumenteerd door Proofpoint en positieve technologieën hebben het vermogen van de dreigingsacteur aangetoond om hun aanvalsketens te verfijnen om een breed scala aan ratten te leveren, zoals agent Tesla, asyncrat, formbook, guloader, Loda Rat, Lokibot, Remcos Rat, Snake KeyLogger en VJW0RM.
Het hoofddoel van de aanvallen is om creditcardgegevens vast te leggen van gasten en reizigers die zijn opgeslagen in hotelsystemen, evenals creditcardgegevens ontvangen van populaire online reisbureaus (OTA’s) zoals Booking.com.
Volgens Kaspersky omvatten de nieuwste campagnes het verzenden van phishing -e -mails die zijn geschreven in het Portugees en Spaanse hotelreserverings- en sollicitatiedragen om ontvangers te klikken om op frauduleuze links te klikken, wat resulteert in het downloaden van een WScript JavaScript -payload.
“Het script lijkt te worden gegenereerd door een groot taalmodel (LLM), zoals blijkt uit de zwaar becommentarieerde code en een formaat vergelijkbaar met die van dit soort technologie,” zei het bedrijf. “De primaire functie van het script is om daaropvolgende scripts te laden die de infectie vergemakkelijken.”
Dit omvat een PowerShell -script, dat op zijn beurt een downloaderhaalt met de naam “CargaJecerrr.txt” van een externe server en het via PowerShell uitvoert. De downloader, zoals de naam al aangeeft, haalt twee extra payloads op: een lader die verantwoordelijk is voor het lanceren van het Venom -rattenmalware.
Gebaseerd op de open-source quasar-rat, is Venom Rat een commercieel hulpmiddel dat wordt aangeboden voor $ 650 voor een levenslange licentie. Een abonnement van één maand bundelt de malware met HVNC- en Stealer-componenten, kost $ 350.
De malware is uitgerust met sifon-gegevens, fungeren als een omgekeerde proxy en beschikt over een anti-kill bescherming mechanisme om ervoor te zorgen dat het ononderbroken loopt. Om dit te bereiken, wijzigt het de discretionaire toegangscontrolelijst (DACL) die is gekoppeld aan het lopende proces om eventuele machtigingen te verwijderen die het functioneren ervan kunnen verstoren, en beëindigt elk loopproces dat overeenkomt met een van de hardcode processen.
“Het tweede onderdeel van deze anti-kill-maatregel omvat een thread die een continue lus uitvoert, waarbij de lijst met loopprocessen elke 50 milliseconden wordt gecontroleerd,” zei Kaspersky.
“De lus is specifiek gericht op die processen die vaak worden gebruikt door beveiligingsanalisten en systeembeheerders om de activiteit van de host te controleren of .NET -binaries te analyseren, onder andere taken. Als de rat een van deze processen detecteert, zal het deze beëindigen zonder de gebruiker te vragen.”
De anti-kill-functie wordt ook aangebracht met de mogelijkheid om persistentie in te stellen op de host met behulp van Windows-registeraanpassingen en de malware opnieuw te uitvoeren wanneer het bijbehorende proces niet wordt gevonden in de lijst met lopende processen.
Als de malware wordt uitgevoerd met verhoogde privileges, gaat het verder met het instellen van het SedebugPrivilege -token en markeert het zichzelf als een kritisch systeemproces, waardoor deze kan blijven bestaan, zelfs wanneer er een poging is om het proces te beëindigen. Het dwingt ook het display van de computer om op te blijven en voorkomt dat het de slaapmodus binnengaat.
Ten slotte bevatten de Venom -rattenartefacten mogelijkheden om zich te verspreiden via verwijderbare USB -schijven en het proces te beëindigen geassocieerd met Microsoft Defender Antivirus, evenals knabineren met de taakplanner en het register om het beveiligingsprogramma uit te schakelen.
“Revengehotels heeft zijn mogelijkheden aanzienlijk verbeterd, het ontwikkelen van nieuwe tactieken om de sectoren gastvrijheid en toerisme te richten,” zei Kaspersky. “Met de hulp van LLM -agenten heeft de groep hun phishing -kunstaas kunnen genereren en aanpassen, waardoor hun aanvallen naar nieuwe regio’s worden uitgebreid.”
