Теперь крыса: киберпреступная группа Unicorn обновила свой самописный стилер
Изображение: recraft
Специалисты департамента киберразведки (Threat Intelligence) компании F6 фиксируют обновления стилера киберпреступной группы Unicorn, атакующей российские компании из разных отраслей с сентября 2024 года. Unicorn проводит еженедельные рассылки и действует довольно шаблонно, используя одни и те же домены в качестве командного сервера (C2) и малоизменяемый самописный стилер Unicorn.
Группа изменила адрес управляющего сервера: 11 августа 2025 года злоумышленники зарегистрировали новый домен van-darkholm[.]org, который начали практически сразу использовать в атаках.
С осени 2025 года специалисты F6 наблюдают попытки Unicorn модифицировать свой стилер, при этом цепочка атаки осталась прежней: письмо с архивом → HTA → .VBS-скрипт (+ POST запрос на Discord) → VBS-скрипты с подгрузкой модулей из реестра = стилер Unicorn.
Рассмотрим изменения на примере октябрьского образца, который использовался в рассылке в адрес финансовой отрасли.
Ссылка на анализ файла в F6 Malware Detonation Platform.
В последних атаках стилер Unicorn состоит из 3 пар сценариев (попарно идентичных).
1. history_log.vbs / permission_set.vbs
Скрипт, отвечающий за обход и эксфильтрацию файлов. Ссылка для эксфильтрации генерируется по следующему шаблону:
hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}.
2. timer.vbs / shortcut_link.vbs
Скрипт, отвечающий за сбор tdata Telegram и данных браузера.
3. access_rights.vbs / music_list.vbs
Этот скрипт можно считать основным обновлением стилера. Он проверяет наличие команды, добавленной в реестр, и если она отсутствует, запрашивает её, после чего добавляет запись в реестр (команда будет выполнена при следующем обходе). Проверяет наличие ключа реестра HKCUSoftwareRedbootherToolELZ.
Если ключа нет, выполняет POST-запрос к серверу:
hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{6,12}
Ответом от сервера должен служить xml-объект, содержащий поля id и cmd. В случае их наличия, значения будут добавлены в реестр:
— HKCUSoftwareRedbootherToolELZ для «id»;
— HKCUSoftwareRedbootherToolCZO для «cmd».
Если размер содержимого превышает 2000 байт, оно будет раздельно записано в реестр по 2000 байт в ключи с именем {key_name}_{key counter}. Если при начальном обходе ключ реестра HKCUSoftwareRedbootherToolELZ существует, то он декодирует команду и выполняет её через executeglobal, то есть скрипт ожидает получить от сервера .vbs-сценарий. После выполнения команды он отправляет POST-запрос с информацией о статусе выполнения команды.
Исследователи F6 отмечают ошибки, допущенные злоумышленниками: это ошибочная логика в коде, которая подразумевает, что пары скриптов при запуске закрепляются в системе через создание ключа в ветке реестра. Изначально один скрипт из каждой пары закреплён в системе через планировщик задач, а второй — через создание ключа. При текущей реализации скрипты будут перезаписывать друг друга в реестре, что может привести к отсутствию закрепления одного из них. Это может свидетельствовать о продолжающейся доработке стилера и попытке сделать его полнофункциональным инструментом.
Индикаторы компрометации:
van-darkholm[.]org
ИСХ № 582ОП-34 от 15.10.2025.zip – SHA1: f807369601c05ef3cff5be20afb1f5b6efbb8128
ИСХ № 582ОП-34 от 15.10.2025.hta – SHA1: db19bc2374bb2246a8bf26aaf4d95e8e911bbc84
%LOCALAPPDATA%DropboxyPublicMagnifyhistory_log.vbs / %LOCALAPPDATA%ClickUpsterListSwitcherDesktoppermission_set.vbs – SHA1: 15879aa780bdd19f023f3326ae15e120c9c69c5a
%LOCALAPPDATA%DropboxyParagraphResolutiontimer.vbs / %LOCALAPPDATA%ClickUpsterSelectshortcut_link.vbs – SHA1: faf1902580d1f0ef492c05e54442fd2f86f95738
%LOCALAPPDATA%OutlookerVersionDetachDragaccess_rights.vbs / %LOCALAPPDATA%ClickUpsterUnassignedDropTilemusic_list.vbs – SHA1: 1052b5f089cfd36840f19e98adeb3fcab1f33f76
