Cybersecurity-onderzoekers hebben een voorheen ongedocumenteerd modulair malwareframework met de codenaam ontdekt Avalon die wordt verspreid via een meerfasige phishing-keten die traditionele beveiligingscontroles kan omzeilen.
Avalon combineert het verzamelen van inloggegevens, laterale verplaatsing, toegang op afstand, verstoring van herstel en uitvoering van ransomware, waardoor verschillende functies onder één paraplu worden samengebracht. Het ransomware-onderdeel heeft intern de naam CrownX gekregen.
“De aanval begon met een vervalste e-mail met een juridisch document die de ontvangers doorverwees naar een met een wachtwoord beveiligd archief op Proton Drive”, aldus Blackpoint Cyber-onderzoekers Nevan Beal en Sam Decker. “Schadelijke inhoud werd ingebed in een ISO-image in plaats van rechtstreeks bijgevoegd, waardoor de kans op detectie in de e-maillaag kleiner werd.”
Als de e-mailontvanger interactie heeft met een Windows-snelkoppeling met documentthema (“Beveiligd document CA-283505.pdf.lnk”) in de gekoppelde afbeelding, activeert dit een geënsceneerde malwarereeks die culmineert in de implementatie van Avalon. Concreet voert de snelkoppeling een opdracht uit om een MSBuild-project te starten dat zich in de ISO-image bevindt.
Het MSBuild-project laadt op zijn beurt een ingebedde .NET-assembly, die vervolgens de reguliere werking van Event Tracing for Windows (ETW) verstoort om de forensische zichtbaarheid te verminderen en een volgende fase-payload via HTTPS te downloaden die verantwoordelijk is voor het starten van Avalon.
Het malwareframework beschikt over een uitgebreid verdedigingsontwijkingssubsysteem dat tot doel heeft detectie te omzeilen, terwijl het specifieke methoden bevat om de uitvoering te verbergen voor beveiligingstools die verband houden met Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee en Bitdefender.
“Deze mogelijkheden geven het raamwerk een groot aantal manieren om telemetrie te verminderen, de monitoring van de gebruikersmodus te omzeilen en de uitvoering ervan aan te passen, afhankelijk van de defensieve controles die op de host aanwezig zijn”, aldus de onderzoekers.
De volledige set functies die in Avalon is ingebouwd, is als volgt:
- Verzamel inloggegevens, cookies, geschiedenis en bladwijzers van Chromium-gebaseerde browsers en Mozilla Firefox.
- Verzamel gegevens van cryptocurrency-portemonnee-apps zoals MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live en Bitcoin Core, samen met Discord, Slack, Teams, OpenVPN, WireGuard en Windows Credential Manager.
- Verzamel details over bekende SSH-hosts, opgeslagen RDP-verbindingen, Wi-Fi-profielen en c-wachtwoordartefacten van Groepsbeleidvoorkeuren.
- Exfiltreer gegevens naar een externe server (“helloxcherry(.)com”) en ondervraag de server voor het ontvangen van taakopdrachten.
- Voer verkenningen uit en geef prioriteit aan systemen die de reikwijdte van het compromis kunnen vergroten.
- Versleutel bestanden die verband houden met bedrijfsactiviteiten, softwareontwikkeling, engineering, gegevensopslag en virtuele infrastructuur met behulp van de Windows Cryptography API en lever een losgeldbrief af met betalingsinstructies en deadlinetimers die laten zien hoeveel tijd er nog resteert voordat het losgeldbedrag wordt verhoogd.
- Verhinder het systeemherstel door de Volume Shadow Copy Service te beëindigen en schaduwkopieën te verwijderen.
- Verwijder sporen van artefacten met behulp van een anti-forensisch opruimsubsysteem om de respons op incidenten te bemoeilijken.
- Directe interactie met schijfstructuren, waarschijnlijk in een poging partitie-informatie, opstartrecords of andere kritieke delen van de schijf te beschadigen, waardoor het systeem feitelijk onbruikbaar wordt.
“CrownX vertegenwoordigde de laatste fase van afpersing, maar de schade reikte veel verder dan de encryptie zelf”, aldus het bedrijf. “Tegen de tijd dat het losgeldbriefje verscheen, had het bredere raamwerk al inloggegevens verzameld, C2-communicatie tot stand gebracht, meerdere paden voor zijdelingse verplaatsing voorbereid en lokale herstelopties verzwakt.”
Een ander belangrijk detail is dat Avalon tekenen vertoont van door kunstmatige intelligentie (AI) ondersteunde ontwikkeling, een ontwikkeling die meerdere componenten heeft samengesteld met weinig aandacht voor geavanceerde ambachten of operationele veiligheid, iets waarvoor aanzienlijke expertise vereist is om te bouwen.
De bevindingen zijn wederom een teken van hoe AI de toetredingsdrempel kan verlagen, waardoor de ontwikkeling van malware met weinig tijd en moeite toegankelijker kan worden gemaakt, en zelfs actoren met weinig technische expertise en middelen in staat kan worden gesteld met tools te komen die mogelijk uitgebreide ontwikkelingsinspanningen vergen. Met andere woorden: de aanwezigheid van een bepaald vermogen is niet langer een betrouwbare indicator voor de verfijning of operationele volwassenheid van een dreigingsactoren.
“De kill-keten illustreert hoe een bekend bedrijfslokmiddel kan uitgroeien tot een herbruikbaar raamwerk met meerdere mogelijkheden, ontworpen om inloggegevens te verzamelen, daaropvolgende payloads volledig in het geheugen op te halen en meerdere vervolgacties uit te voeren vanaf één enkel gecompromitteerd eindpunt”, aldus Blackpoint Cyber.
LLM achter een Agentic Ransomware-aanval
De onthulling komt op het moment dat Sysdig gedetailleerd uitlegde wat naar eigen zeggen de eerste publiekelijk gedocumenteerde agentische ransomware-infectie was, aangestuurd door een groot taalmodel van begin tot eind, terwijl het zijn acties in realtime opnieuw probeerde en aanpaste om taken te voltooien. De agentic threat actor (ATA) achter de operatie heeft de codenaam JADEPUFFER.
De operator “kreeg initiële toegang tot een op het internet gerichte Langflow-instantie via CVE-2025-3248 en voerde een adaptieve en volledig geautomatiseerde campagne uit, die zich uiteindelijk op het beoogde doel richtte en een destructief database-afpersingsplaybook draaide tegen de productiedatabaseserver van het slachtoffer”, aldus Michael Clark van Sysdig.
“De vaardigheidsvloer voor het uitvoeren van ransomware is gedaald tot wat het kost om een agent te runnen, en als die agent via LLMjacking op gestolen inloggegevens draait, zijn de kosten voor een aanvaller bijna nul.”
AI-malware die LLM gebruikt bij een codeloze aanval
De bevindingen volgen ook op de ontdekking van een AI-malware die een Telegram-bot samenbrengt met een openbare LLM API om een codeloze aanval te bedenken. Eenmaal gelanceerd, verzendt het implantaat basisgegevens over het aangetaste systeem naar de Telegram-bot van de aanvaller en komt het in een command-and-control (C2)-lus terecht die de bot-API elke vijf seconden opzoekt naar nieuwe berichten. De resultaten van de uitvoering van de opdracht worden via hetzelfde kanaal teruggefilterd.
De specialiteit van deze malware is dat elk operatorbericht wordt doorgestuurd naar een openbaar LLM API-eindpunt (“api.groq(.)com/openai/v1/chat/completions”), dat vervolgens de door de aanvaller verstrekte instructies in natuurlijke taal vertaalt in het equivalente shell-commando. Het artefact is op 11 maart 2026 geüpload naar het VirusTotal-platform en heeft tot nu toe nul detecties bij alle zoekmachines.
“Dit werk introduceert een LLM-vertaallaag die de shell-syntaxis vervangt door platte tekst. De aanvaller typt instructies in platte tekst in Telegram”, aldus Palo Alto Networks Unit 42. “De LLM vertaalt de instructies in shell-commando’s. En het slachtoffer voert de shell-commando’s uit. Er is geen kennis van de commandoregel vereist.”