Хакеры Unicorn обновили стилер для атак на российские компании

Специалисты департамента киберразведки компании F6 обнаружили значительные изменения в инструментарии киберпреступной группировки Unicorn, которая с сентября 2024 года целенаправленно атакует российские компании из различных отраслей. Несмотря на стандартную схему атак с использованием еженедельных рассылок и минимально изменяемого самописного стилера, злоумышленники продолжают развивать свой вредоносный инструментарий.

Как рассказали IT Speaker в F6, ключевым изменением стала смена адреса управляющего сервера: 11 августа 2025 года был зарегистрирован новый домен van-darkholm[.]org, который сразу начал использоваться в активных атаках. С осени эксперты наблюдают попытки модификации стилера, хотя общая цепочка компрометации осталась прежней: письмо с архивом → HTA-файл → VBS-скрипт с отправкой POST-запроса на Discord → серия VBS-скриптов с подгрузкой модулей из реестра, ведущая к запуску стилера Unicorn.

В октябрьской атаке на финансовый сектор стилер демонстрирует новую архитектуру, состоящую из трех пар сценариев. Первая пара (history_log.vbs и permission_set.vbs) отвечает за обход и эксфильтрацию файлов с генерацией ссылок по шаблону hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}. Вторая пара (timer.vbs и shortcut_link.vbs) специализируется на сборе tdata Telegram и информации браузеров.

Наиболее значимым обновлением стала третья пара сценариев (access_rights.vbs и music_list.vbs), которая проверяет наличие команд в реестре и при их отсутствии запрашивает с сервера XML-объект с полями id и cmd. Полученные данные сохраняются в ветке реестра HKCU\Software\Redboother\Tool\, причем объемные данные разделяются на части по 2000 байт. При обнаружении существующей записи в реестре система декодирует и выполняет команду через executeglobal, что указывает на ожидание VBS-сценария от сервера с последующей отправкой отчета о статусе выполнения.

Исследователи отмечают ошибки в логике кода, связанные с механизмом закрепления в системе: скрипты перезаписывают друг друга в реестре, что может нарушать персистентность. Это свидетельствует о продолжающейся доработке вредоносной программы и попытках злоумышленников создать полнофункциональный инструмент для компрометации систем.

Ранее эксперты холдинга «Информзащиты» сообщили, что в 77% хакерских атак, направленных на кражу идентификационных данных россиян, использовались программы-стилеры.