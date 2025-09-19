Эксперты «Лаборатории Касперского» обнаружили новую волну атак группировки RevengeHotels. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ.

RevengeHotels (она же TA558) активна с 2015 года и специализируется на похищении данных кредитных карт постояльцев отелей и путешественников. Обычно хакеры рассылают письма с фишинговыми ссылками, которые перенаправляют посетителей на сайты, замаскированные под хранилища документов. С этих сайтов загружаются вредоносные скрипты, которые заражают целевые компьютеры.

Финальные полезные нагрузки представляют собой различные трояны удаленного доступа (RAT), позволяющие злоумышленникам управлять скомпрометированными системами, похищать конфиденциальные данные, закрепляться в инфраструктуре и так далее.

Летом 2025 года специалисты обнаружили новые атаки группы, нацеленные на отели, с применением все более сложных имплантов и инструментов. Основными мишенями группы стали гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании.

В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Беларуси, Турции, Малайзии, Италии и Египте.

В этот раз атакующие продолжили рассылать фишинговые письма (замаскированные под счета-фактуры, запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса) для доставки VenomRAT с помощью загрузчиков на основе JavaScript и PowerShell.

Как показал анализ, значительная часть кода для начального заражения и загрузки имплантов в этих кампаниях могла быть сгенерирована с помощью LLM-агентов. Исследователи полагают, что хакеры активно используют ИИ-технологии для расширения своих возможностей.

Отмечается, что VenomRAT представляет собой обновленную версию опенсорсного трояна QuasarRAT, который впервые обнаружили в середине 2020 года. VenomRAT распространяется в даркнете по цене до 650 долларов США за пожизненную лицензию. Несмотря на утечку исходного кода VenomRAT, он по-прежнему продается и используется злоумышленниками.