Un reciente informe de Kaspersky reveló que el grupo de hackers conocido como RevengeHotels o TA558 ha lanzado una nueva campaña contra el sector hotelero en 2025, utilizando el troyano de acceso remoto VenomRAT. Las operaciones se han concentrado principalmente en Brasil, aunque también se detectaron ataques en España y el resto de Latinoamérica.

El grupo, activo desde 2015, ha tenido como objetivo el robo de información de tarjetas de crédito de huéspedes y viajeros. Para lograrlo, suelen emplear correos electrónicos de phishing que redirigen a sitios maliciosos, donde se descargan scripts capaces de instalar diferentes familias de RAT en los sistemas de las víctimas.

En campañas anteriores, el grupo empleó diversos tipos de RAT y también desplegó malware propio. Un RAT (troyano de acceso remoto) es un programa que permite a los atacantes tomar control remoto de un equipo comprometido, ejecutar comandos y extraer información sensible.

La campaña más reciente observada por Kaspersky a mediados de 2025 mostró un cambio en la estrategia del grupo: el uso de herramientas más avanzadas como VenomRAT y la incorporación de inteligencia artificial para generar loaders en JavaScript y downloaders en PowerShell.

El desarrollo de los ataques

Los ataques comenzaron con correos falsos sobre facturas relacionadas con reservas hoteleras, con montos supuestamente pendientes. En una segunda etapa, el grupo amplió sus tácticas y también empezó a utilizar falsas solicitudes laborales, enviando currículums a hoteles seleccionados como señuelo.

A través de los correos fraudulentos, las víctimas eran redirigidas a sitios que alojaban scripts maliciosos con código generado por IA, diseñados para descargar otros scripts adicionales y ejecutar el proceso de infección. Según Kaspersky, gran parte de este código inicial parece haber sido creado por modelos de lenguaje (LLM), lo que confirma la creciente tendencia de los cibercriminales de usar IA para sofisticar sus ataques.

Una vez completada la infección, VenomRAT permite a los atacantes controlar el equipo comprometido mediante un escritorio virtual oculto. Además, el malware puede extraer archivos, configurar un proxy inverso, evadir protecciones de Control de Cuentas de Usuario y propagarse a través de dispositivos USB.

Aunque la mayoría de los correos maliciosos detectados en esta campaña estaban escritos en portugués, algunos aparecieron en español, lo que sugiere que RevengeHotels está expandiendo sus operaciones a nuevas regiones. En el pasado, el grupo atacó hoteles en Argentina, Bolivia, Chile, Costa Rica, México y España, además de en países como Rusia, Bielorrusia y Turquía.

Kaspersky advierte que el grupo ha mejorado notablemente sus capacidades y que ahora utiliza IA para perfeccionar y diversificar sus tácticas en la industria hotelera y turística.

Fuente: Security Week