Исследователи из Blackpoint Cyber — Неван Бил и Сэм Декер — обнаружили ранее не задокументированный модульный фреймворк под названием Avalon. Этот инструмент умеет собирать учётные данные, перемещаться по сети, обеспечивать удалённый доступ, нарушать процедуры восстановления и в финале запускать шифровальщик. Последний называется CrownX — это встроенный ransomware-компонент Avalon. Распространяется вся эта конструкция через многоступенчатую фишинговую цепочку, которая обходит стандартные средства защиты.

Атака начинается с письма, якобы содержащего юридический документ. Жертва получает ссылку на Proton Drive, где лежит защищённый паролем архив. Внутри — ISO-образ, и это не случайно: вложения в виде ISO значительно хуже детектируются на уровне почтовых шлюзов. Внутри смонтированного образа пользователь видит файл «Secure Document CA-283505.pdf.lnk» — обычный с виду ярлык, оформленный под PDF. Клик по нему запускает проект MSBuild, который загружает.NET-сборку, вмешивается в механизм Event Tracing for Windows (ETW) для снижения видимости активности, после чего по HTTPS забирает следующую стадию. На выходе — развёрнутый Avalon.
Фреймворк целенаправленно противодействует девяти конкретным инструментам защиты: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee и Bitdefender. Avalon снижает телеметрию, обходит мониторинг пользовательского режима и адаптирует поведение в зависимости от того, какие именно средства защиты обнаружены на хосте. То есть фреймворк не просто прячется — он смотрит, что именно стоит на машине, и подстраивается.
По части сбора данных список целей у Avalon довольно широкий. Среди криптовалютных кошельков: М⃰Mask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live и Bitcoin Core. Из коммуникационных инструментов — Discord, Slack, Teams. Отдельно забираются данные OpenVPN, WireGuard, Windows Credential Manager, SSH known hosts, сохранённые RDP-подключения, профили Wi-Fi и артефакты cpassword из групповых политик. Всё это уходит на сервер helloxcherry[.]com, который параллельно используется для получения командных задач.
Когда основная работа сделана, запускается CrownX. Шифровальщик через Windows Cryptography API обрабатывает файлы, связанные с бизнес-операциями, разработкой ПО, инженерными данными, хранилищами и виртуальной инфраструктурой. Затем завершает службу теневого копирования и удаляет Volume Shadow Copy. Записка с требованием выкупа содержит инструкции по оплате и таймер обратного отсчёта — время до увеличения суммы. А специальный антикриминалистический модуль напрямую взаимодействует с дисковыми структурами, потенциально повреждая разделы и загрузочные записи. После этого система фактически перестаёт работать.
Сами исследователи из Blackpoint Cyber написали прямо: «К тому моменту, когда появлялась записка с требованием выкупа, более широкий фреймворк уже собрал учётные данные, установил C2-коммуникации, подготовил несколько путей для бокового перемещения и ослабил локальные возможности восстановления». Это описывает сценарий, при котором момент появления требования — уже финальный аккорд, а не начало проблемы.
Вторая история из той же серии, но устроена иначе. Исследователь Майкл Кларк из Sysdig задокументировал первую публично известную атаку так называемого агентного злоумышленника — JADEPUFFER. Это не просто автоматизированная атака, а атака, управляемая большой языковой моделью от начала до конца. Начальный доступ получен через уязвимость CVE-2025-3248 в открытом инстансе Langflow.
Дальнейшая схема выглядит так: имплант отправляет базовые данные о системе в Telegram-бот атакующего, после чего каждые пять секунд опрашивает Telegram Bot API на наличие новых сообщений. Каждая команда оператора проходит через api.groq[.]com/openai/v1/chat/completions — публичный LLM-эндпоинт — где переводится из обычного текста в shell-команды. Атакующий пишет по-человечески: «найди базу данных», «удали вот это». LLM превращает это в конкретные команды, жертвская машина выполняет. Никаких знаний командной строки не нужно.
Артефакт этой атаки был загружен на VirusTotal 11 марта 2026 года. Ни один из антивирусных движков его не обнаружил. Аналитики Palo Alto Networks Unit 42 описали произошедшее так: «Эта работа вводит слой трансляции LLM, который заменяет синтаксис оболочки обычным текстом».
Здесь важно зафиксировать одну вещь. Avalon, по оценке Blackpoint Cyber, показывает признаки разработки с помощью ИИ. Компоненты фреймворка собраны без особой технической изощрённости и без серьёзной операционной безопасности. При этом инструмент работает и обходит девять коммерческих EDR-решений. Это означает, что наличие продвинутых возможностей перестало быть индикатором квалификации стоящего за атакой человека.
Если раньше сложность атаки хотя бы косвенно указывала на уровень группировки, то теперь это соответствие разрушено. Порог вхождения снизился до стоимости запуска агента. А если агент работает на украденных ключах через LLMjacking, то и эта стоимость стремится к нулю. Два описанных случая — Avalon с CrownX и JADEPUFFER — наглядно показывают, в какую сторону движется ландшафт угроз: автоматизированный, адаптивный и доступный людям без технического бэкграунда.

Изображение носит иллюстративный характер
Атака начинается с письма, якобы содержащего юридический документ. Жертва получает ссылку на Proton Drive, где лежит защищённый паролем архив. Внутри — ISO-образ, и это не случайно: вложения в виде ISO значительно хуже детектируются на уровне почтовых шлюзов. Внутри смонтированного образа пользователь видит файл «Secure Document CA-283505.pdf.lnk» — обычный с виду ярлык, оформленный под PDF. Клик по нему запускает проект MSBuild, который загружает.NET-сборку, вмешивается в механизм Event Tracing for Windows (ETW) для снижения видимости активности, после чего по HTTPS забирает следующую стадию. На выходе — развёрнутый Avalon.
Фреймворк целенаправленно противодействует девяти конкретным инструментам защиты: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee и Bitdefender. Avalon снижает телеметрию, обходит мониторинг пользовательского режима и адаптирует поведение в зависимости от того, какие именно средства защиты обнаружены на хосте. То есть фреймворк не просто прячется — он смотрит, что именно стоит на машине, и подстраивается.
По части сбора данных список целей у Avalon довольно широкий. Среди криптовалютных кошельков: М⃰Mask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live и Bitcoin Core. Из коммуникационных инструментов — Discord, Slack, Teams. Отдельно забираются данные OpenVPN, WireGuard, Windows Credential Manager, SSH known hosts, сохранённые RDP-подключения, профили Wi-Fi и артефакты cpassword из групповых политик. Всё это уходит на сервер helloxcherry[.]com, который параллельно используется для получения командных задач.
Когда основная работа сделана, запускается CrownX. Шифровальщик через Windows Cryptography API обрабатывает файлы, связанные с бизнес-операциями, разработкой ПО, инженерными данными, хранилищами и виртуальной инфраструктурой. Затем завершает службу теневого копирования и удаляет Volume Shadow Copy. Записка с требованием выкупа содержит инструкции по оплате и таймер обратного отсчёта — время до увеличения суммы. А специальный антикриминалистический модуль напрямую взаимодействует с дисковыми структурами, потенциально повреждая разделы и загрузочные записи. После этого система фактически перестаёт работать.
Сами исследователи из Blackpoint Cyber написали прямо: «К тому моменту, когда появлялась записка с требованием выкупа, более широкий фреймворк уже собрал учётные данные, установил C2-коммуникации, подготовил несколько путей для бокового перемещения и ослабил локальные возможности восстановления». Это описывает сценарий, при котором момент появления требования — уже финальный аккорд, а не начало проблемы.
Вторая история из той же серии, но устроена иначе. Исследователь Майкл Кларк из Sysdig задокументировал первую публично известную атаку так называемого агентного злоумышленника — JADEPUFFER. Это не просто автоматизированная атака, а атака, управляемая большой языковой моделью от начала до конца. Начальный доступ получен через уязвимость CVE-2025-3248 в открытом инстансе Langflow.
Дальнейшая схема выглядит так: имплант отправляет базовые данные о системе в Telegram-бот атакующего, после чего каждые пять секунд опрашивает Telegram Bot API на наличие новых сообщений. Каждая команда оператора проходит через api.groq[.]com/openai/v1/chat/completions — публичный LLM-эндпоинт — где переводится из обычного текста в shell-команды. Атакующий пишет по-человечески: «найди базу данных», «удали вот это». LLM превращает это в конкретные команды, жертвская машина выполняет. Никаких знаний командной строки не нужно.
Артефакт этой атаки был загружен на VirusTotal 11 марта 2026 года. Ни один из антивирусных движков его не обнаружил. Аналитики Palo Alto Networks Unit 42 описали произошедшее так: «Эта работа вводит слой трансляции LLM, который заменяет синтаксис оболочки обычным текстом».
Здесь важно зафиксировать одну вещь. Avalon, по оценке Blackpoint Cyber, показывает признаки разработки с помощью ИИ. Компоненты фреймворка собраны без особой технической изощрённости и без серьёзной операционной безопасности. При этом инструмент работает и обходит девять коммерческих EDR-решений. Это означает, что наличие продвинутых возможностей перестало быть индикатором квалификации стоящего за атакой человека.
Если раньше сложность атаки хотя бы косвенно указывала на уровень группировки, то теперь это соответствие разрушено. Порог вхождения снизился до стоимости запуска агента. А если агент работает на украденных ключах через LLMjacking, то и эта стоимость стремится к нулю. Два описанных случая — Avalon с CrownX и JADEPUFFER — наглядно показывают, в какую сторону движется ландшафт угроз: автоматизированный, адаптивный и доступный людям без технического бэкграунда.