RevengeHotels повышает уровень атак: использование ИИ и VenomRAT для кражи данных гостиничных гостей

Исторически RevengeHotels действовала через фишинговые письма с вложениями в формате Word, Excel или PDF, которые эксплуатировали уязвимости (например: CVE-2017-0199) для загрузки скриптов VBS или PowerShell. Целью становились гостиницы в Латинской Америке, России, Беларуси и Турции. Финальными полезными нагрузками ранее выступали такие RAT, как RevengeRAT, NanoCoreRAT и кастомный ProCC. Со временем арсенал пополнился XWorm и DesckVBRAT.

Летом 2025 года исследователи обнаружили новые кампании, нацеленные на тот же сектор, но с более высоким уровнем сложности. Ключевым изменением стало активное использование злоумышленниками ИИ-агентов для генерации значительной части исходного кода загрузчика. Это видно по чистоте и организованности кода, обилию подробных комментариев, использованию заполнителей для подстановки переменных и минимальному уровню запутывания, что резко контрастирует с традиционно запутанным, написанным вручную вредоносным кодом.

Атака начинается с целевых фишинговых писем на португальском или испанском языках, маскирующихся под уведомления о бронировании, просроченных счетах или даже отклики на вакансии. Письма содержат ссылки на сайты, имитирующие сервисы хранения документов. При посещении сайт загружает JS-файл (например, "Fat146571.js", где "Fat" - от португальского "fatura", "счёт"), который, как предполагается, создан LLM. Этот скрипт декодирует следующий этап - файл PowerShell с динамическим именем, который, в свою очередь, загружает и исполняет в памяти два основных файла: "venumentrada.txt" (загрузчик) и "runpe.txt" (сам имплант VenomRAT).

VenomRAT является платным развитием открытого QuasarRAT и предлагает злоумышленникам расширенные функции: скрытый рабочий стол (HVNC), сбор и кражу файлов, обратный прокси и обход UAC. Для противодействия анализу троянец включает многоуровневый механизм "анти-килл": он модифицирует списки контроля доступа к своему процессу, в непрерывном цикле ищет и принудительно завершает процессы популярных инструментов администрирования и анализа (например, Process Hacker, Taskmgr, Procmon), а также реализует устойчивость через реестр и скрипты VBS. При наличии прав администратора он помечает себя как критический процесс системы, что затрудняет его终止.

Дополнительные функции скрытности включают удаление тегов Zone.Identifier (для сокрытия источника загрузки файла), очистку журналов событий Windows и отключение Windows Defender через планировщик задач и реестр. Для связи с C2 используется настраиваемый сериализованный, сжатый и зашифрованный AES-128 трафик, а также туннелирование через ngrok для доступа к RDP/VNC. VenomRAT также способен распространяться через USB-накопители, копируя себя на съемные носители.

Основными целями по-прежнему остаются отели в Бразилии, но использование фишинга на испанском языке указывает на то, что атаки распространяются на испаноязычные страны (Аргентина, Чили, Мексика, Испания). Инфраструктура для доставки полезных нагрузок размещена на легальных хостингах с тематическими доменами.

RevengeHotels демонстрирует, как традиционные группировки, используя ИИ, могут быстро наращивать техническую сложность своих операций. Генерация кода через LLM позволяет им адаптировать фишинговые приманки, быстро менять нагрузки и усложнять анализ. Конечная цель - хищение конфиденциальных данных - остаётся неизменной, но методы её достижения становятся всё более изощрёнными и автоматизированными.

MD5

• 1077ea936033ee9e9bf444dafb55867c
• 3ac65326f598ee9930031c17ce158d3d
• 607f64b56bb3b94ee0009471f1fe9a3c
• 91454a68ca3a6ce7cb30c9264a88c0dc
• b1a5dc66f40a38d807ec8350ae89d1e4
• d5f241dee73cffe51897c15f36b713cc
• dbf5afa377e3e761622e5f21af1f09e6
• fbadfff7b61d820e3632a2f464079e8c