Теперь крыса: киберпреступная группа Unicorn обновила свой самописный стилер
Специалисты департамента киберразведки (Threat Intelligence) компании F6 фиксируют обновления стилера киберпреступной группы Unicorn, атакующей российские компании из разных отраслей с сентября 2024 года.
Как отмечается в сообщении F6, Unicorn проводит еженедельные рассылки и действует довольно шаблонно, используя одни и те же домены в качестве командного сервера (C2) и малоизменяемый самописный стилер Unicorn.
Группа изменила адрес управляющего сервера: 11 августа 2025 года злоумышленники зарегистрировала новый домен van-darkholm[.]org, который начала практически сразу использовать в атаках.
С осени 2025 года специалисты F6 наблюдают попытки Unicorn модифицировать свой стилер, при этом цепочка атаки осталась прежней: письмо с архивом -> HTA -> .VBS-скрипт (+ POST запрос на Discord) -> VBS-скрипты с подгрузкой модулей из реестра = стилер Unicorn.
С подробным анализом изменений можно познакомиться на сайте F6 Malware Detonation Platform.
