// 1 ZERO-DAY · 1 CVE · 1 EXPLOIT NELLE ULTIME 24H
Il framework Avalon integra credential harvesting, evasione multi-EDR e ransomware CrownX in un'unica catena. I ricercatori di Blackpoint Cyber rilevano segni di

I ricercatori Nevan Beal e Sam Decker di Blackpoint Cyber hanno documentato il framework malware Avalon, una piattaforma modulare che combina furto di credenziali, movimento laterale, evasione di nove prodotti EDR/XDR e il ransomware CrownX in un'unica catena d'attacco. Il report, pubblicato il 3 luglio 2026, rivela segni di sviluppo assistito da intelligenza artificiale che, secondo l'analisi della fonte, riduce la correlazione tra sofisticazione tecnica e capacità operativa dell'attore.

Punti chiave
  • Avalon si distribuisce tramite phishing multi-stadio con documenti legali contraffatti, archivi password-protected su Proton Drive e immagini ISO contenenti progetti MSBuild
  • Il framework include evasione per Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender
  • Il componente ransomware CrownX cifra con Windows Cryptography API, elimina shadow copies e danneggia strutture disco per rendere il sistema inutilizzabile
  • L'analisi rileva segni di AI-assisted development: componenti assemblati con scarse attenzione per l'operational security, invertendo l'assunto che capacità avanzate implichino actor sofisticati

La catena d'ingresso: da un'email legale a MSBuild in memoria

L'attacco inizia con una email di phishing che presenta un documento legale contraffatto. La vittima viene indirizzata verso un archivio password-protected su Proton Drive. All'interno, il contenuto malevolo è incapsulato in un'immagine ISO. Uno shortcut Windows con nome ingannevole — Secure Document CA-283505.pdf.lnk — esegue un comando che avvia un progetto MSBuild localizzato nell'ISO, il quale carica un assembly .NET embedded.

Questa architettura offre vantaggi operativi significativi. L'uso di MSBuild, strumento legittimo di sviluppo Microsoft, permette di eseguire codice senza richiedere compilatori esterni o payload binari sospetti. L'intera catena, dalla email alla esecuzione in memoria, si svolge attraverso strumenti trusted, riducendo le opportunità di rilevamento basate su firme.

Secondo la fonte citata, l'assembly interfere con il funzionamento regolare di Event Tracing for Windows (ETW), la infrastruttura di tracciamento eventi di Microsoft. Il tampering ETW riduce la visibilità forense disponibile agli analisti, oscurando porzioni della catena esecutiva che normalmente alimentano i sistemi SIEM e le piattaforme di threat detection.

CrownX e il danno oltre la cifratura

Il componente ransomware è internamente denominato CrownX. Non si limita alla cifratura dei file: interagisce direttamente con le strutture disco, danneggiando partizioni e boot record per rendere il sistema inutilizzabile. Prima di attivarsi, termina il Volume Shadow Copy Service e cancella le shadow copies, eliminando il ripristino locale.

La cifratura avviene tramite Windows Cryptography API, una scelta che sfrutta librerie di sistema legittime anziché implementazioni crittografiche custom. Questo approccio riduce ulteriormente la superficie di rilevamento e complica l'analisi differenziale: il malware appare, per certi versi, come un'applicazione che utilizza API standard nel modo previsto.

"CrownX represented the final extortion stage, but the damage extended well beyond the encryption itself. By the time the ransom note appeared, the broader framework had already collected credentials, established C2 communications, prepared multiple paths for lateral movement, and weakened local recovery options." — Blackpoint Cyber

Evasione multi-vendor: un catalogo di bypass

Avalon integra un sottosistema di evasione difese che la fonte documenta con elenco specifico. I prodotti targetati sono: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender — nove soluzioni EDR/XDR che coprono la maggior parte del mercato enterprise.

Secondo i ricercatori citati, il framework impiega API native per regolare la propria eseczione in base ai controlli difensivi presenti sull'host. La citazione diretta dei ricercatori specifica che "These capabilities give the framework a multitude of ways to reduce telemetry, bypass user mode monitoring, and adjust its execution depending on the defensive controls present on the host".

La strategia non mira a un singolo bypass universale, ma a un'adeattività condizionale: rilevare quale prodotto è attivo, selezionare la tecnica appropriata, proseguire con esposizione minima. Questa modularità richiede conoscenza tecnica distribuita su multiple piattaforme, un investimento che tradizionalmente associava a gruppi threat con risorse e specializzazione consolidata.

Il sottosistema di raccolta e il server C2

Parallelamente all'evasione, Avalon opera harvesting sistematico di credenziali e dati. La fonte documenta raccolta da otto wallet per criptovalute: MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live e Bitcoin Core. Sono inoltre targetate applicazioni di comunicazione e connettività — Discord, Slack, Teams, OpenVPN, WireGuard — insieme a SSH known hosts, connessioni RDP, profili Wi-Fi e password cifrate nei Group Policy Preferences.

I dati raccolti sono exfiltrati verso il server remoto helloxcherry[.]com, che funge anche da polo per il polling dei comandi C2. La struttura suggerisce un modello di operazione a due vie: la vittima spedisce quanto raccolto, riceve istruzioni per fasi successive, inclusa eventualmente l'attivazione di CrownX. Il framework, quindi, non è ransomware puro ma piattaforma di accesso con opzione di monetizzazione finale.

Perché è importante

Il dossier non specifica misure correttive o patch per il framework Avalon. Non emergono indicatori di quante infezioni siano state confermate né di settori prevalenti. La fonte non chiarisce se Avalon sia distribuito come servizio o sia uso esclusivo di un singolo threat actor.

Il punto critico è invece l'assessment sull'origine del malware. Secondo Blackpoint Cyber, Avalon "shows signs of artificial intelligence (AI)-assisted development, one that has assembled multiple components with scant regard for sophisticated tradecraft or operational security". La capacità di assemblare evasione multi-vendor, anti-forensics, movimento laterale e ransomware in un framework coerente — senza la cura operativa tipica di actor di élite — inverte un paradigma consolidato nella threat intelligence.

La matrice MITRE ATT&CK e i framework di profilazione tradizionali associano la complessità tecnica alla sofisticazione dell'attore: più tecniche, più evasione, più persistenza, più è probabile che si tratti di un gruppo avanzato (APT) o di un ransomware syndicate strutturato. Avalon suggerisce che questa correlazione si st indebolendo. L'IA-assisted development permette di aggregare componenti tecnicamente avanzati senza l'organizzazione, la disciplina o l'investimento temporale che storicamente filtravano gli actor di basso livello.

Per i difensori, l'implicazione è che la barriera di ingresso per attacchi multi-capability sta scendendo. La presenza di evasione per nove prodotti EDR non è più indicatore affidabile di risorsosità o intento nazionale; può essere, invece, il risultato di un assemblaggio assistito da modelli generativi con accesso a repository pubblici di tecniche di bypass. Il tempo di dwell-to-encryption si accorcia perché il framework integra in un'unica piattaforma raccolta, comunicazione, preparazione laterale e attivazione del payload finale.

La fonte non specifica se l'AI-assisted development si riferisca alla generazione di codice, all'orchestrazione dei componenti o ad altro aspetto del ciclo di sviluppo. Resta inoltre non documentato se il framework supporti eseczione su sistemi non-Windows: l'intera evidence map si riferisce a componenti e API specifiche dell'ecosistema Microsoft.

Domande e risposte

Avalon è venduto come servizio (MaaS)?

Il brief non documenta un modello di distribuzione as-a-service. Non è chiaro se Avalon sia offerta commerciale, toolkit privato o altro.

Esiste un CVE per Avalon o CrownX?

No. Nessun identificatore CVE è assegnato al framework o al ransomware secondo il dossier analizzato.

Cosa rende l'AI-assisted development rilevante per la difesa?

Secondo l'analisi della fonte, indica che componenti tecnicamente complessi possono essere assemblati senza la cura operativa tradizionale, rendendo più difficile profilare il threat actor sulla base delle sole capacità tecniche osservate.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. welivesecurity.com
  3. nvd.nist.gov