Unicorn в новой оболочке: аналитика свежей атаки группы

Киберпреступная группа Unicorn атакует российские компании с сентября 2024 года. Почерк узнаваемый: шаблонные рассылки, долгая жизнь одной C2-инфраструктуры, минимальные изменения в ВПО.

30 марта 2026 года специалисты департамента киберразведки (Threat Intelligence) компании F6 зафиксировала новую атаку. Цель — авиастроительная отрасль. Письмо имеет типичную для группы тему: "Направляем Вам исходящее №* от 30.03.2026" и одноименный ZIP-архив во вложении.

Анализ вложения в F6 Malware Detonation Platform.

Специалисты F6 Threat Intelligence выявили ряд изменений по сравнению в более ранней активностью.

1️⃣ Переход с VBS-скриптов на JS-скрипты. Одновременно цепочка атаки практически не изменилась: архив из вложения содержит HTA-файл, после запуска которого извлекаются 8 попарно идентичных скриптов в две разные директории. Для закрепления JS-скрипты прописываются в автозагрузку через реестр (RunOnce) и планировщик задач. Возможности JS-скриптов повторяют те, что ранее были реализованы в VBS-скриптах Unicorn:

• history_log.js (update_info.js) - сбор файлов с определенными расширениями из директорий пользователя;

• drive_layout.js (calendar_event.js) - сбор данных браузеров, Telegram, файлов из съемных дисков;

• storage_index.js (setup_file.js) - взаимодействие с C2 для получения команд; 

• alert_status.js (warning_message.js) - отправка собранных файлов.

2️⃣ Новая логика C2. Ранее как C2 злоумышленники использовали поддомены *.rikardo-milos[.]org. В свежей атаке Unicorn впервые используют в качестве основных C2 IP-адреса, а в качестве резервных - поддомены от нового домена. В выявленной  атаке использовались: 45.156.87[.]120, 45.156.87[.]3, 176.65.132[.]239, supercum[.]org.

С помощью GET запроса определяется доступный хост. Если какой-то из указанных IP доступен, то генерируется URL по шаблону: hxxps://[IP]/bpr-[a-zA-Z0-9]{6, 12}, иначе - генерируется URL по другому шаблону: hxxps://[a-zA-Z0-9]{6,12}.supercum[.]org/bpr-[a-zA-Z0-9]{6,12}.

Адрес сайта supercum[.]org был зарегистрирован 22 марта 2026 года, за неделю до выявленной рассылки.

3️⃣ Упростили цепочку. В HTA больше нет финального POST-запроса (раньше был, например, на Discord).

Индикаторы компрометации:

ИСХ № 117_26 от 30.03.2026.zip
MD5: 58564f49bfdc4a0873dbfd44482554a8

ИСХ № 117_26 от 30.03.2026.hta
MD5: 917b9bea8b0f191e2ffba64d64fce5b9

history_log.js | update_info.js
MD5: aa7a558137d846bdf94e065f320bae57

storage_index.js | setup_file.js
MD5: 899d89b0f747a593fc4f984465b7adab

drive_layout.js | calendar_event.js
MD5: 41cbaef86c064a892db1f4789211365d

alert_status.js | warning_message.js
MD5: 64a582e893bad8c268a6579dbd4ecf5d

supercum[.]org

45.156.87[.]120

45.156.87[.]3

176.65.132[.]239

URL: hxxps://[IP]/sts

URL: hxxps://[IP]/bpr-[a-zA-Z0-9]{6, 12}

URL: hxxps://[a-zA-Z0-9]{6,12}.supercum[.]org/bpr-[a-zA-Z0-9]{6,12}

URL: hxxps://[IP|domain]/bpr-[a-zA-Z0-9]{4, 8}.