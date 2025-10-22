Теперь крыса: киберпреступная группа Unicorn обновила свой самописный стилер

Специалисты департамента киберразведки (Threat Intelligence) компании F6 фиксируют обновления стилера киберпреступной группы Unicorn, атакующей российские компании из разных отраслей с сентября 2024 г. Unicorn проводит еженедельные рассылки и действует довольно шаблонно, используя одни и те же домены в качестве командного сервера (C2) и малоизменяемый самописный стилер Unicorn. Об этом CNews сообщили представители F6.

Группа изменила адрес управляющего сервера: 11 августа 2025 г. злоумышленники зарегистрировала новый домен van-darkholm[.]org, который начала практически сразу использовать в атаках.

С осени 2025 г. специалисты F6 наблюдают попытки Unicorn попытки модифицировать свой стилер, при этом цепочка атаки осталась прежней: письмо с архивом -> HTA -> .VBS-скрипт (+ POST запрос на Discord) -> VBS-скрипты с подгрузкой модулей из реестра = стилер Unicorn.

Рассмотрим изменения на примере октябрьского образца, который использовался в рассылке в адрес финансовой отрасли.

В последних атаках стилер Unicorn состоит из 3 пар сценариев (попарно идентичных).

1. history_log.vbs / permission_set.vbs

Скрипт, отвечающий за обход и эксфильтрацию файлов. Ссылка для эксфильтрации генерируется по следующему шаблону:

hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}.

2. timer.vbs / shortcut_link.vbs

Скрипт, отвечающий за сбор tdata Telegram и данных браузера.

3. access_rights.vbs / music_list.vbs

Этот скрипт можно считать основным обновлением стилера. Он проверяет наличие команды, добавленной в реестр, и если она отсутствует, запрашивает её, после чего добавляет запись в реестр (команда будет выполнена при следующем обходе). Проверяет наличие ключа реестра HKCU\Software\Redboother\Tool\ELZ.

Если ключа нет, выполняет POST-запрос к серверу:

hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{6,12}

Ответом от сервера должен служить xml-объект, содержащий поля id и cmd. В случае их наличия, значения будут добавлены в реестр:

— HKCU\Software\Redboother\Tool\ELZ для "id";

— HKCU\Software\Redboother\Tool\CZO для "cmd".

Если размер содержимого превышает 2000 байт, оно будет раздельно записано в реестр по 2000 байт в ключи с именем {key_name}_{key counter}. Если при начальном обходе ключ реестра HKCU\Software\Redboother\Tool\ELZ существует, то декодирует команду и выполняет ее через executeglobal, то есть скрипт ожидает получить от сервера .vbs-сценарий. После выполнения команды отправляет POST-запрос с информацией о статусе выполнения команды.

Исследователи F6 отмечают ошибки, допущенные злоумышленниками: это ошибочная логика в коде, который подразумевает, что пары скриптов при запуске закрепляются в системе через создание ключа в ветке реестра. Изначально один скрипт из каждой пары закреплен в системе через планировщик задач, а второй — через создание ключа. При текущей реализации скрипты будут перезаписывать каждый себя в реестре, что может привести к отсутствию закрепления одного из них. Это может свидетельствовать о продолжающейся доработке стилера и попытке сделать его полнофункциональным инструментом.

Индикаторы компрометации:

van-darkholm[.]org

ИСХ № 582ОП-34 от 15.10.2025.zip - SHA1: f807369601c05ef3cff5be20afb1f5b6efbb8128

ИСХ № 582ОП-34 от 15.10.2025.hta - SHA1:db19bc2374bb2246a8bf26aaf4d95e8e911bbc84

%LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs / %LOCALAPPDATA%\ClickUpster\List\Switcher\Desktop\permission_set.vbs - SHA1: 15879aa780bdd19f023f3326ae15e120c9c69c5a

%LOCALAPPDATA%\Dropboxy\Paragraph\Resolution\timer.vbs / %LOCALAPPDATA%\ClickUpster\Select\shortcut_link.vbs - SHA1: faf1902580d1f0ef492c05e54442fd2f86f95738

%LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs / %LOCALAPPDATA%\ClickUpster\Unassigned\Drop\Tile\music_list.vbs - SHA1: 1052b5f089cfd36840f19e98adeb3fcab1f33f76