RevengeHotelsとして知られる脅威アクターが、ホスピタリティ業界を標的とした最近の攻撃で新たなリモートアクセス型トロイの木馬(RAT)を武器に加えたと、Kasperskyが報告しています。
2015年から活動しているこのハッカーグループは、TA558とも呼ばれ、ホテルの宿泊客や旅行者のクレジットカード情報の窃取に注力してきました。
RevengeHotelsの攻撃は、通常、フィッシングメールから始まり、被害者のシステムにさまざまなRATファミリーを感染させる悪意のあるスクリプトをダウンロードさせるウェブサイトへ誘導します。これにより、攻撃者は機密情報を盗み、持続的なアクセスを維持することができます。
過去の攻撃では、このグループがラテンアメリカの複数の国のホテルを、888 RAT、NanoCoreRAT、NjRAT、RevengeRAT、そしてカスタムマルウェアのProCCといったマルウェアファミリーで標的にしている様子が確認されました。
最近では、脅威アクターはXWormを武器に加え、一部の作戦ではDesckVBRATも使用していることが確認されています。
Kasperskyが2025年中頃に観測したキャンペーンでは、RevengeHotelsはより高度なインプラントやツール(VenomRATなど)に切り替え、JavaScriptローダーやPowerShellダウンローダーの作成にAIを利用し始めました。
攻撃は、ホテルの予約を狙った請求書に関するフィッシングメールから始まり、受信者に未払いの支払いを促す内容でした。最近では、攻撃者は偽の求人応募を利用し、ターゲットとなるホテルに履歴書を送付する手口も使い始めています。
被害者は、AIによって生成されたコードを含む悪意のあるスクリプトをホストしたウェブサイトにリダイレクトされました。これらのスクリプトは、さらなるスクリプトを読み込んでマルウェア感染を引き起こすよう設計されています。
広告。スクロールして続きをお読みください。
「このキャンペーンの初期感染およびダウンローダーのコードの大部分は、大規模言語モデル(LLM)エージェントによって生成されたものと見られます。これは、脅威アクターがAIを活用して能力を進化させていることを示しており、他のサイバー犯罪グループでも報告されている傾向です」とKasperskyは指摘しています。
感染チェーンはVenomRATの展開につながり、攻撃者は隠された仮想デスクトップセッションを通じて感染したマシンを操作できます。このマルウェアはファイルの収集・流出、リバースプロキシの設定、ユーザーアカウント制御(UAC)保護の回避が可能です。
また、このマルウェアはUSBドライブ経由でも拡散し、リムーバブルドライブを検索して「My Pictures.exe」という名前で自分自身をコピーします。
Kasperskyによると、今回の新たなRevengeHotelsキャンペーンはブラジルのホテルやフロントデスクを中心に展開されました。ただし、確認されたフィッシングメールの多くはポルトガル語でしたが、一部はスペイン語で書かれており、ハッカーグループが他地域にも活動を拡大している可能性が示唆されています。
以前、このグループはアルゼンチン、ボリビア、チリ、コスタリカ、メキシコ、スペインなどのスペイン語圏の国々や、ロシア、ベラルーシ、トルコのホテルも標的にしていることが確認されています。
「RevengeHotelsはその能力を大幅に強化し、ホスピタリティおよび観光業界を標的とする新たな戦術を開発しています。LLMエージェントの支援により、グループはフィッシングの誘い文句を生成・修正し、攻撃を新たな地域へ拡大しています」とKasperskyは述べています。
関連記事: Microsoft、ClickFixを利用したホスピタリティ業界への攻撃を警告
関連記事: 米議員になりすます中国のハッキング作戦の詳細が明らかに
翻訳元: https://www.securityweek.com/threat-actor-infests-hotels-with-new-rat/