Киберпреступники из группы Unicorn модернизируют стилер для скрытного удаленного доступа

Специалисты отмечают, что группа действует по отработанной схеме, проводя еженедельные рассылки фишинговых писем с вредоносными архивами. Целевыми отраслями остаются финансовые организации и промышленные предприятия. Характерной особенностью Unicorn является использование однотипных доменов для командных серверов и минимальные изменения в основном коде стилера.

В августе 2025 года киберпреступники зарегистрировали новый домен van-darkholm[.]org, который сразу же начали активно использовать в атаках. Это стандартная практика для подобных групп, позволяющая обходить блокировки и сохранять контроль над зараженными системами.

Наиболее значимые изменения произошли в архитектуре самого стилера. В октябрьских образцах, использовавшихся против финансового сектора, исследователи обнаружили принципиально новую структуру, состоящую из трех пар сценариев VBS. Первая пара, history_log.vbs и permission_set.vbs, отвечает за поиск и эксфильтрацию файлов с использованием динамически генерируемых URL-адресов по шаблону hxxps://[поддомен].van-darkholm[.]org/vpr-[идентификатор].

Вторая пара скриптов, timer.vbs и shortcut_link.vbs, специализируется на сборе данных мессенджера Telegram и информации из браузеров. Однако ключевым нововведением стала третья пара - access_rights.vbs и music_list.vbs, обеспечивающая функционал удаленного управления.

Новый модуль работает по сложному алгоритму: при каждом запуске он проверяет наличие специальной команды в реестре Windows по пути HKCU\Software\Redboother\Tool\ELZ. Если команда отсутствует, скрипт отправляет POST-запрос на командный сервер, ожидая получить XML-объект с полями id и cmd. Полученные данные сохраняются в реестре, причем объемные команды разбиваются на фрагменты по 2000 байт.

При последующих запусках, если команда присутствует в реестре, она декодируется и выполняется через функцию ExecuteGlobal, что позволяет злоумышленникам запускать произвольные VBS-сценарии на зараженной машине. После выполнения команды скрипт отправляет на сервер отчет о статусе выполнения, обеспечивая обратную связь.

Аналитики обратили внимание на технические ошибки в реализации механизма персистентности. Разработчики предусмотрели закрепление в системе через создание записей в реестре и планировщике задач, однако текущая логика приводит к взаимному перезаписыванию скриптов, что может нарушать их постоянное присутствие в системе. Эта недоработка свидетельствует о том, что группа продолжает активно развивать свой инструмент.

Эксперты по кибербезопасности отмечают, что подобная эволюция стилера в полнофункциональный троян удаленного доступа представляет серьезную угрозу, поскольку позволяет злоумышленникам не только красть данные, но и получать полный контроль над зараженными системами. Рекомендуется усилить мониторинг подозрительной активности, связанной с VBS-скриптами, и обращать особое внимание на нехарактерные изменения в реестре Windows.

Domains

• van-darkholm.org

SHA1

• 1052b5f089cfd36840f19e98adeb3fcab1f33f76
• 15879aa780bdd19f023f3326ae15e120c9c69c5a
• db19bc2374bb2246a8bf26aaf4d95e8e911bbc84
• f807369601c05ef3cff5be20afb1f5b6efbb8128
• faf1902580d1f0ef492c05e54442fd2f86f95738