Especialistas de Kaspersky reportan una nueva oleada de ataques de la banda RevengeHotels, también identificada como TA558, dirigida al sector hotelero y a organizaciones vinculadas al turismo. La campaña destaca por incorporar fragmentos de código presumiblemente generados con modelos de lenguaje (LLM), lo que incrementa la escalabilidad de la operación, reduce barreras para los atacantes y complica la detección basada en firmas.
Panorama: TA558 y su foco en el sector hotelero
Activo al menos desde 2015, TA558 ha centrado sus operaciones en hoteles y entidades de viajes para robar datos de pago y credenciales operativas. Investigaciones previas de la industria —entre ellas de Kaspersky y de proveedores como Proofpoint— han descrito un patrón estable: campañas de phishing que redirigen a portales falsos de “nube” o a repositorios de documentos y, desde allí, descargan cargadores (loaders) y troyanos de acceso remoto (RAT) para el control de los equipos comprometidos.
Campaña 2025: países afectados y modus operandi
La actividad más reciente se concentra en Brasil, con objetivos adicionales en Argentina, Bolivia, Chile, Costa Rica, México y España. Históricamente, el grupo también ha impactado a víctimas en Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto. El patrón principal vuelve a ser el fraude por correo: facturas, solicitudes de reserva y candidaturas laborales diseñadas para el entorno hotelero.
Phishing + JavaScript/PowerShell → VenomRAT (MITRE T1566/T1204/T1059)
Los correos conducen a una cadena de infección con cargadores en JavaScript y PowerShell que culminan en la instalación de VenomRAT. Esta técnica encaja con tácticas y técnicas de MITRE ATT&CK: T1566 (Phishing), T1204 (User Execution) y T1059 (Command and Scripting Interpreter), con especial énfasis en PowerShell para persistencia y ejecución remota.
IA generativa en la cadena de infección: riesgos y alcance
Según Kaspersky, partes significativas del código de primera etapa y de los implantes muestran patrones propios de generación mediante LLM. La automatización asistida por IA permite producir rápidamente landing pages, variar ofuscaciones y adaptar los cargadores al entorno de la víctima, acelerando ciclos de prueba y error y elevando el volumen de envíos sin coste proporcional. No convierte la campaña en “indetectable”, pero sí favorece la evasión frente a reglas estáticas y acorta el tiempo entre iteraciones.
VenomRAT: capacidades, origen y oferta en foros
VenomRAT desciende del conocido proyecto de código abierto QuasarRAT y se emplea para control remoto, exfiltración de credenciales y mantenimiento de acceso. Investigadores indican que se comercializa en foros clandestinos con “licencias” que pueden alcanzar los 650 USD, pese a filtraciones previas de su código. Su popularidad responde a una combinación de bajo costo, amplia funcionalidad y ecosistema de operadores.
Impacto para hoteles y huéspedes
La infección de estaciones del front office, contabilidad o reservas puede exponer datos de tarjetas, credenciales de sistemas PMS/check-out y información personal de huéspedes. Incluso las cadenas con mayor madurez son vulnerables cuando faltan controles como MFA, segmentación de red y gestión de privilegios. La dependencia de ingeniería social —más que de exploits cero‑day— subraya la necesidad de fortalecer el perímetro de correo y la higiene de scripts.
Medidas de mitigación prioritarias para el sector hotelero
Las siguientes prácticas, alineadas con marcos como PCI DSS y MITRE, reducen el riesgo operativo y el impacto de incidentes:
- Endurecer el correo: DMARC/DKIM/SPF, aislamiento de enlaces y adjuntos, sandboxing y bloqueo de ejecución de JS/PowerShell no necesarios (Constrained Language Mode, AppLocker/WDAC).
- Implementar EDR/XDR con telemetría de PowerShell y detecciones de RAT; monitorear invocaciones anómalas y bloquear artefactos conocidos.
- Aplicar MFA en PMS, pasarelas de pago y accesos de administración; aplicar mínimo privilegio y segmentar POS y Wi‑Fi de huéspedes.
- Minimizar el almacenamiento de PAN; usar tokenización y cumplir PCI DSS; revisar rotación de llaves y cifrado en tránsito y reposo.
- Formación continua en phishing con simulacros regulares y procedimientos de reporte rápido.
La campaña de 2025 confirma la evolución de TA558: la combinación de phishing maduro, tooling commoditizado y aceleradores de IA eleva la presión sobre un sector con alta exposición a datos de pago. Tal como resume Kaspersky, “las tácticas son reconocibles, pero las herramientas evolucionan”. Priorizar controles de correo, restringir la ejecución de scripts y desplegar EDR/XDR y MFA reduce de forma tangible la superficie de ataque. El momento de actuar es ahora: revisar la postura de seguridad, cerrar brechas básicas y ensayar la respuesta a incidentes para impedir la monetización de estos intentos.
