The Hacker News が 7月3日に伝えた解析によると、研究者らは「Avalon」と名付けたモジュラー型マルウェアフレームワークを発見しました。認証情報収集、横方向移動、リモートアクセス、リカバリ妨害、ランサム化 (内部名 CrownX) を一つのフレームワーク下で連携させる設計で、C2 の指令チャネルに公開 LLM API を組み込んでいる点が特徴です。
主なポイント
- 感染経路は法的文書を装ったフィッシングメールから Proton Drive のパスワード保護アーカイブへ誘導し、ISO イメージ内に本体を隠して EDR/メールスキャンを回避
- オペレータは Telegram で自然言語のコマンドを送信し、
api.groq[.]com/openai/v1/chat/completionsに転送 ⇒ 返ってきたシェルコマンドを被害端末で実行する LLM 翻訳層を採用 - ランサム部 CrownX は BCrypt API と AES-GCM で認証暗号化を実装。VSS 停止、シャドウコピー削除、WinRE イメージや復元ポイントの破壊まで踏み込みバックアップ経路を塞ぐ
- 単発のツールではなく、初期侵入から窃取・破壊まで一気通貫で回すランサム "as-a-framework" 構成で、複数攻撃者グループへのカスタマイズ配布が想定されると研究者は指摘
出典: New Avalon Malware Framework Packs CrownX Ransomware Capabilities