AI Jadi Senjata Baru RevengeHotels Serang Industri Hotel

RevengeHotels, kelompok penjahat siber yang sudah aktif sejak 2015 dan dikenal berorientasi keuntungan, kembali menaikkan level serangannya. Kali ini mereka memadukan teknik lama yaiitu phishing dan RAT (Remote Access Trojan) dengan kode yang kemungkinan besar dihasilkan oleh large languade model. Hasilnya: rantai infeksi yang lebih rapi, otomatis, dan lebih sulit dideteksi.

Target: Jaringan Perhotelan di Amerika Latin

Dalam beberapa bulan terakhir, kampanye RevengeHotels fokus ke jaringan perhotelan di Brasil. Namun, mereka juga memakai umpan berbahasa Spanyol sehingga meluas ke pasar berbahasa Spanyol di Amerika Latin. Modus operandi-nya klasik tapi disempurnakan: email phishing yang menyamar sebagai pemberitahuan tagihan atau lamaran kerja mengarahkan korban ke domain jahat. Di sana tersimpan skrip berulang dengan nama seperti “Fat{NOMOR}.js” — istilah “fat” merujuk pada kata Portugis “fatura” (tagihan).

Karena tampak relevan dan resmi, email semacam ini mudah memancing staf front-desk hotel atau pegawai administrasi untuk mengklik tautan, sehingga membuka pintu masuk bagi malware.

Rantai Infeksi yang Berlapis dan Dinamis

Kekuatan serangan ini ada pada loader JavaScript awal dan downloader PowerShell yang dibuat secara dinamis. Ketika korban mengklik tautan jahat, browser akan mengunduh file WScript JS (misal: Fat146571.js). Skrip ini kemudian mendekode sebuah blok data yang disamarkan dan menulis sebuah file PowerShell ke disk dengan nama unik yang mengandung cap waktu (timestamp).

Contoh alur sederhana: skrip mendekode data Base64 → menulis file .ps1 dengan nama unik → menjalankan skrip PowerShell secara diam-diam. Proses ini membuat setiap sampel berbeda satu sama lain, sehingga mekanisme deteksi berbasis tanda tangan (signature-based) menjadi kurang efektif.

Para peneliti dari Securelist mencatat bahwa pola penamaan file bergilir dan kualitas kode yang konsisten menunjukkan adanya penggunaan alat otomatis kemungkinan besar AI yang menghasilkan kode loader lebih bersih dan “profesional” dibanding obfuscation manual sebelumnya.

Payload: VenomRAT Berfitur Lengkap

Setelah stub PowerShell berjalan, ia mengambil dua payload dari server jarak jauh: venumentrada.txt dan runpe.txt, yang keduanya dikodekan dalam Base64. File pertama berfungsi sebagai loader ringan; file kedua mengeksekusi VenomRAT langsung di memori tanpa menulis executable akhir ke hard disk. Teknik ini menjalankan di memori dan memperumit upaya analisis forensik dan membuat deteksi lebih susah.

VenomRAT sendiri merupakan turunan dari QuasarRAT open-source, namun telah dimodifikasi. Fitur tambahan yang disematkan antara lain:

• HVNC (Hidden VNC), memungkinkan penyerang melihat dan mengontrol desktop korban tanpa ketahuan.
• Modul pencuri berkas, mencuri dokumen dan data penting.
• Teknik bypass UAC (User Account Control), untuk mendapatkan hak lebih tinggi pada mesin korban.

Konfigurasi VenomRAT dienkripsi menggunakan AES-CBC dan integritasnya dijaga oleh HMAC-SHA256 dengan kunci yang terpisah. Untuk komunikasi, paket aksi dikompresi (LZMA), dienkripsi (AES-128), lalu dikirim ke server command-and-control. Menariknya, VenomRAT juga memanfaatkan tunneling melalui ngrok untuk mengekspos layanan RDP atau VNC, sehingga penyerang dapat mengakses mesin korban meski berada di balik NAT atau firewall.

Mengapa Teknik Ini Berbahaya

Ada beberapa alasan mengapa kampanye ini patut diwaspadai:

• Otomatisasi oleh AI: Kode yang dihasilkan terlihat rapi dan profesional, memungkinkan penjahat siber membuat banyak varian dengan cepat.
• Tidak meninggalkan artefak tetap: Menjalankan payload di memori dan memakai nama file berbasis timestamp mengurangi jejak di disk, mempersulit deteksi dan forensik.
• Kombinasi fitur lengkap: Dengan HVNC, pencurian berkas, dan akses jauh, penyerang tidak hanya mencuri data tapi juga bisa menyalahgunakan sistem untuk tujuan lanjut (mis. penyebaran lateral atau pencurian informasi tamu hotel).
• Sasarannya sektor kritikal: Hotel menyimpan data tamu, informasi kartu, dan sistem operasional, semua bernilai tinggi bagi pelaku kejahatan finansial.

Langkah Pencegahan untuk Industri Perhotelan dan Pengguna Windows

Mengingat teknik serangan yang semakin canggih, beberapa langkah praktis yang bisa diambil oleh hotel dan pengguna Windows:

• Pelatihan anti-phishing untuk staf, terutama mereka yang menangani email dan pembayaran.
• Terapkan kebijakan eksekusi skrip yang ketat pada lingkungan kerja (batasi penggunaan PowerShell dan WScript bila tidak diperlukan).
• Gunakan endpoint detection and response (EDR) yang mampu mendeteksi eksekusi berbahaya di memori, bukan hanya file di disk.
• Enforce least privilege: jangan biarkan akun staf memiliki hak admin jika tidak perlu.
• Monitoring jaringan terhadap koneksi ngrok atau tunneling mencurigakan serta anomali trafik yang dienkripsi.
• Backup rutin dan rencana respon insiden untuk mengurangi dampak jika terjadi kompromi.

RevengeHotels menunjukkan bagaimana penjahat siber terus beradaptasi: memadukan metode phishing klasik dengan otomasi AI untuk menghasilkan kode yang efektif dan sukar dilacak. Bagi industri perhotelan dan pengguna Windows, ini bukan sekadar ancaman teknis tetapi, ancaman terhadap privasi tamu, operasi bisnis, dan reputasi. Meningkatkan kesadaran staf, memperkuat kontrol teknis, dan memakai solusi deteksi modern adalah langkah awal yang wajib diambil untuk mengurangi risiko serangan semacam ini.