Эксперты отдела анализа угроз (Threat Intelligence) компании F6 отмечают изменения в программе-стилере киберпреступного объединения Unicorn, которое с сентября 2024 года атакует российские организации из различных секторов. Unicorn еженедельно рассылает вредоносные письма и действует по устоявшейся схеме, применяя неизменные управляющие домены и практически не модифицируемый собственный стилер Unicorn. Такие данные предоставили CNews сотрудники F6.
Группировка обновила адрес командного сервера: 11 августа 2025 года злоумышленники зарегистрировали новый домен van-darkholm[.]org, который немедленно начали применять в кибератаках.
С осени 2025 года аналитики F6 фиксируют попытки Unicorn усовершенствовать свой стилер, хотя последовательность атаки сохранилась: письмо с архивом → HTA-файл → VBS-скрипт (с POST-запросом в Discord) → VBS-скрипты с загрузкой модулей из реестра = стилер Unicorn.
Проанализируем изменения на примере октябрьской версии, применявшейся в рассылке на организации финансовой сферы.
В новых атаках стилер Unicorn включает три пары скриптов (идентичных внутри пар).
1. history_log.vbs / permission_set.vbs
Сценарий, ответственный за поиск и передачу файлов. Адрес для передачи данных формируется по шаблону:
hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}.
2. timer.vbs / shortcut_link.vbs
Скрипт, собирающий tdata Telegram и информацию из браузеров.
3. access_rights.vbs / music_list.vbs
Данный скрипт можно считать ключевым изменением стилера. Он проверяет наличие команды, записанной в реестре, и при её отсутствии запрашивает её, после чего создаёт соответствующую запись в реестре (команда будет выполнена при следующей проверке). Проверяет существование раздела реестра HKCUSoftwareRedbootherToolELZ.
Если раздел отсутствует, отправляет POST-запрос на сервер:
hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{6,12}
Ответ сервера должен содержать xml-объект с полями id и cmd. При их наличии значения записываются в реестр:
— HKCUSoftwareRedbootherToolELZ для "id";
— HKCUSoftwareRedbootherToolCZO для "cmd".
Если объём данных превышает 2000 байт, информация записывается в реестр частями по 2000 байт в ключи с именами {key_name}_{key counter}. Если при первичной проверке раздел реестра HKCUSoftwareRedbootherToolELZ существует, то скрипт декодирует команду и выполняет её через executeglobal, то есть ожидает от сервера .vbs-сценарий. После выполнения команды отправляется POST-запрос с данными о результате выполнения.
Специалисты F6 выявили недочёты, допущенные зрлоумышленниками: некорректная алгоритмика в программном коде, предполагающая, что дуэты скриптов при активации фиксируются в ОС путём генерации записи в системном реестре. Первоначально один элемент из каждой пары закрепляется через планировщик заданий, тогда как его партнёр — через реестровую запись. В текущей версии скрипты взаимно перезаписывают реестровые данные, что потенциально ведёт к утрате постоянного присутствия одного из компонентов. Данная ситуация может указывать на непрерывную эволюцию вредоносного ПО и стремление разработчиков создать универсальный инструмент.
Признаки нарушения безопасности:
van-darkholm[.]org
ИСХ № 582ОП-34 от 15.10.2025.zip - SHA1: f807369601c05ef3cff5be20afb1f5b6efbb8128
ИСХ № 582ОП-34 от 15.10.2025.hta - SHA1:db19bc2374bb2246a8bf26aaf4d95e8e911bbc84
%LOCALAPPDATA%DropboxyPublicMagnifyhistory_log.vbs / %LOCALAPPDATA%ClickUpsterListSwitcherDesktoppermission_set.vbs - SHA1: 15879aa780bdd19f023f3326ae15e120c9c69c5a
%LOCALAPPDATA%DropboxyParagraphResolutiontimer.vbs / %LOCALAPPDATA%ClickUpsterSelectshortcut_link.vbs - SHA1: faf1902580d1f0ef492c05e54442fd2f86f95738
%LOCALAPPDATA%OutlookerVersionDetachDragaccess_rights.vbs / %LOCALAPPDATA%ClickUpsterUnassignedDropTilemusic_list.vbs - SHA1: 1052b5f089cfd36840f19e98adeb3fcab1f33f76
