Эксперты Kaspersky зафиксировали очередную волну атак киберпреступной группы RevengeHotels (также известной как TA558), нацеленных на гостиничный сектор. Ключевой особенностью кампании стало появление образцов вредоносного кода, в создании которых, по оценке исследователей, использовались большие языковые модели (LLM). Это повышает масштабируемость атак, снижает порог входа и усложняет обнаружение.

Кто такие RevengeHotels/TA558 и кого они атакуют

Группа действует по крайней мере с 2015 года и специализируется на компрометации отелей и организаций, связанных с путешествиями, с целью хищения платежных данных гостей. Исторически злоумышленники применяют фишинговые рассылки с ссылками на поддельные «облака» и хранилища документов, откуда на устройство жертвы попадают скрипты-загрузчики и далее — трояны удаленного доступа (RAT).

Новая кампания 2025: векторы атаки и инструменты

Летом 2025 года зафиксированы атаки с использованием усовершенствованных имплантов и цепочек заражения. Основной удар пришелся по отелям в Бразилии, но цели обнаружены также в ряде испаноязычных стран: Аргентине, Боливии, Чили, Коста-Рике, Мексике и Испании. Ранее TA558 атаковали пользователей и организации в России, Беларуси, Турции, Малайзии, Италии и Египте.

Фишинг + JS/PowerShell → VenomRAT

Начальная доставка выполняется через тщательно подготовленные письма, маскируемые под счета-фактуры, запросы на бронирование или отклики соискателей в сфере гостеприимства. Переход по ссылке приводит к загрузке цепочки из JavaScript- и PowerShell-загрузчиков, которые устанавливают финальную полезную нагрузку — VenomRAT. Такой подход соответствует типовым техникам MITRE ATT&CK, включая T1566 (Phishing), T1204 (User Execution) и T1059 (Command and Scripting Interpreter, PowerShell).

ИИ в цепочке заражения: чем опасно применение LLM

По результатам анализа, значимая часть кода на этапах первичного заражения и выгрузки имплантов могла быть сгенерирована с помощью LLM-агентов. Автоматизация генерации скриптов ускоряет подготовку фишинговых страниц, адаптирует загрузчики под конкретные окружения и помогает быстро изменять артефакты под сигнатурные детекторы. Это не делает атаку «непобедимой», но повышает темп итераций и объем рассылок при сопоставимых затратах.

Что такое VenomRAT и почему он популярен

VenomRAT — производное от открытого проекта QuasarRAT, активно используемое для удаленного управления скомпрометированными системами, кражи учетных данных и закрепления в инфраструктуре. По данным исследователей, злоумышленники приобретают его на подпольных площадках, где цена «пожизненной лицензии» может достигать 650 долларов США. Несмотря на утечку исходного кода, инструмент продолжает распространяться и остается востребованным в криминальной среде.

Последствия для отелей и гостей

Компрометация рабочих станций сотрудников фронт-офиса, бухгалтерии или отдела бронирований создает прямой риск утечки данных карт, учетных записей PMS/чек-аут систем и персональных сведений гостей. Даже крупные сетевые отели уязвимы для фишинга и постэксплуатации, если отсутствуют многофакторная аутентификация, сегментация сети и контроль привилегий.

Комментарий экспертов

«Тактика группы узнаваема, но инструменты эволюционируют: значительная часть вредоносных фрагментов, вероятно, создана с использованием LLM. Это показатель того, как ИИ повышает эффективность кибератак. Пользователям и компаниям важно не терять бдительность — риски существуют даже при взаимодействии с известными брендами», — отмечает Дмитрий Галов, руководитель Kaspersky GReAT в России.

Как снижать риски: практические меры для гостиниц

— Усилить почтовую защиту: DMARC/DKIM/SPF, изоляция ссылок и вложений, песочницы для скриптов, запрет запуска необязательных JS и PowerShell (Constrained Language Mode, AppLocker/WDAC).
— Включить EDR/XDR с телеметрией по PowerShell и скриптам, отслеживать аномальные вызовы, блокировать известные RAT-артефакты.
— Обеспечить MFA для критичных систем (PMS, платежные шлюзы), ролевое разграничение доступа и сетевую сегментацию POS/гостевой Wi‑Fi.
— Минимизировать хранение платежных данных, использовать токенизацию и соответствовать требованиям PCI DSS.
— Регулярно обучать персонал распознаванию фишинга и проводить учения с имитацией атак.

RevengeHotels продолжает целенаправленно бить по гостиничному сектору, комбинируя проверенную фишинговую тактику с «ускорителями» на базе ИИ. Компании, работающие с платежными данными гостей, должны исходить из сценария постоянной готовности: усиливать контроль почтового периметра, ограничивать исполняемость скриптов, внедрять EDR/XDR и MFA. Чем быстрее организации закроют базовые пробелы и наладят реагирование на инциденты, тем сложнее будет злоумышленникам монетизировать атаки.