Sicherheitsforscher melden eine neue Angriffswelle der Gruppe RevengeHotels, auch bekannt als TA558, die sich gezielt gegen den Hotel- und Reisebereich richtet. Auffällig ist der Einsatz von durch große Sprachmodelle (LLM) erzeugten Codefragmenten in der Infektionskette, was Skalierung, Geschwindigkeit und Variabilität der Kampagnen erhöht und klassische Signaturerkennung erschwert.
RevengeHotels/TA558: Profil, Ziele und Taktiken
Die Gruppe agiert mindestens seit 2015 mit dem Ziel, Zahlungs- und Zugangsdaten von Gästen sowie Hotelmitarbeitern zu entwenden. Historisch dominieren Phishing-Mails mit Verlinkungen auf gefälschte Cloud- und Dokumentportale, die Loader-Skripte nachladen und anschließend Remote-Access-Trojaner (RAT) platzieren.
Sommer 2025: Ziele, Vektoren und Tooling der Kampagne
In der aktuellen Welle geraten vor allem Hotels in Brasilien ins Visier. Weitere Ziele wurden in spanischsprachigen Ländern wie Argentinien, Bolivien, Chile, Costa Rica, Mexiko und Spanien beobachtet. Frühere Aktivitäten betrafen u. a. Russland, Belarus, die Türkei, Malaysia, Italien und Ägypten.
Phishing + JavaScript/PowerShell führt zu VenomRAT
Die Erstinfektion beginnt mit plausibel wirkenden E-Mails (Rechnungen, Buchungsanfragen, Bewerbungen). Der Klick auf einen Link stößt eine Loader-Kette aus JavaScript und PowerShell an, die am Ende VenomRAT installiert. Die beobachteten Techniken korrespondieren mit MITRE ATT&CK: T1566 (Phishing), T1204 (User Execution) und T1059 (Command and Scripting Interpreter, PowerShell).
LLM-gestützte Malware-Generierung: Chancen für Angreifer, Risiken für Verteidiger
Analysen deuten darauf hin, dass wesentliche Teile der Erstlade- und Staging-Skripte durch LLM-Agents generiert wurden. Automatisierte Code-Erzeugung erleichtert die schnelle Anpassung an Zielumgebungen, das Variieren von Artefakten gegen Signaturen und das zügige A/B-Testen neuer Tarnmechanismen. Branchenberichte wie die ENISA Threat Landscape und das Verizon DBIR unterstreichen den Trend, dass KI die Taktik, Technik und Prozeduren (TTPs) von Angreifern beschleunigt, insbesondere bei Social Engineering und Obfuskation.
VenomRAT im Fokus: Herkunft, Fähigkeiten und Verbreitung
VenomRAT ist ein Ableger von QuasarRAT (Open-Source) und dient zur Fernsteuerung kompromittierter Systeme, zum Diebstahl von Zugangsdaten und zur Persistenz im Netzwerk. Das Tool wird in Untergrundforen gehandelt; Berichte nennen Preise von bis zu 650 US-Dollar für „Lifetime“-Varianten. Trotz Quellcode-Leaks bleibt VenomRAT aufgrund geringerer Einstiegshürden und stabiler Funktionen in der Cybercrime-Szene populär.
Folgen für Hotels und Gäste: Von PMS bis Zahlungsdaten
Wird eine Arbeitsstation im Front Office, in der Buchhaltung oder im Reservierungsmanagement kompromittiert, drohen der Abfluss von Kartendaten, PMS-/Check-out-Zugängen sowie personenbezogenen Gästeinformationen. Selbst große Ketten bleiben verwundbar, wenn MFA, Netzsegmentierung und Privilegienkontrolle fehlen. Regulatorische Anforderungen wie PCI DSS v4.0 betonen daher Minimierung, Tokenisierung und strikte Zugriffskontrollen für Zahlungsdaten.
Einordnung der Experten
Die Taktik ist bekannt, doch die Werkzeuge entwickeln sich: LLM-gestützte Code-Fragmente erhöhen die Iterationsgeschwindigkeit und erschweren statische Erkennung. Wachsamkeit ist entscheidend – auch bei Interaktionen mit vermeintlich vertrauenswürdigen Absendern.
Empfohlene Gegenmaßnahmen für den Hotelbetrieb
– E-Mail-Schutz stärken: DMARC/DKIM/SPF, Link- und Anhang-Isolation, Sandboxen; PowerShell im Constrained Language Mode betreiben, unnötige Skriptausführung via AppLocker/WDAC unterbinden.
– EDR/XDR mit Telemetrie für PowerShell/Script-Engines einsetzen, anomalienbasierte Erkennung aktivieren, bekannte RAT-Indikatoren blockieren. MITRE-TTPs regelmäßig mappen und Jupyter/Notebooks für Hunt-Queries pflegen.
– MFA für PMS, Zahlungs-Gateways und Backoffice erzwingen; rollenbasierte Zugriffe (RBAC) und Segmentierung zwischen POS, Backoffice und Gäste-Wi‑Fi konsequent umsetzen.
– Zahlungsdaten minimieren, Tokenisierung nutzen und PCI DSS-Anforderungen erfüllen; Logging, Key-Management und regelmäßige Audits verankern.
– Mitarbeitende schulen (Phishing-Drills), Notfallplaybooks testen und eine Incident-Response-Kette mit forensischer Sicherung vorbereiten.
Organisationen im Hotel- und Reiseumfeld sollten vom „Assume-Breach“-Prinzip ausgehen: E-Mail-Perimeter härten, Skriptausführung begrenzen, EDR/XDR und MFA breit ausrollen und Reaktionsfähigkeit üben. Wer Basislücken zügig schließt und seine Detection & Response entlang der MITRE-Methodik ausrichtet, erhöht den Aufwand für TA558 signifikant und reduziert die Chancen der Angreifer, VenomRAT & Co. gewinnbringend zu monetarisieren.
