Investigadores de ciberseguridad han descubierto un marco de malware modular previamente no documentado con nombre en código Ávalón que se distribuye mediante una cadena de phishing de varias etapas capaz de burlar los controles de seguridad tradicionales.
Avalon combina recopilación de credenciales, movimiento lateral, acceso remoto, interrupción de la recuperación y ejecución de ransomware, reuniendo diversas funciones bajo un mismo paraguas. El componente de ransomware se ha denominado internamente CrownX.
“El ataque comenzó con un correo electrónico con un documento legal falsificado que dirigía a los destinatarios a un archivo protegido con contraseña en Proton Drive”, dijeron los investigadores de Blackpoint Cyber, Nevan Beal y Sam Decker. “El contenido malicioso se incrustó dentro de una imagen ISO en lugar de adjuntarse directamente, lo que redujo la probabilidad de detección en la capa de correo electrónico”.
Si el destinatario del correo electrónico interactúa con un acceso directo de Windows con tema de documento (“Documento seguro CA-283505.pdf.lnk”) dentro de la imagen montada, se desencadena una secuencia de malware preparada que culmina con la implementación de Avalon. Específicamente, el acceso directo ejecuta un comando para iniciar un proyecto de MSBuild ubicado en la imagen ISO.
El proyecto MSBuild, por su parte, carga un ensamblado .NET integrado, que luego interfiere con el funcionamiento normal de Event Tracing para Windows (ETW) para reducir la visibilidad forense y descargar una carga útil de la siguiente etapa a través de HTTPS responsable del lanzamiento de Avalon.
El marco de malware cuenta con un extenso subsistema de evasión de defensa que tiene como objetivo evadir la detección, al tiempo que incorpora métodos específicos para ocultar la ejecución de las herramientas de seguridad asociadas con Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee y Bitdefender.
“Estas capacidades le dan al marco una multitud de formas de reducir la telemetría, evitar el monitoreo del modo de usuario y ajustar su ejecución dependiendo de los controles defensivos presentes en el host”, dijeron los investigadores.
El conjunto completo de funciones integradas en Avalon es el siguiente:
- Obtenga credenciales, cookies, historial y marcadores de navegadores basados en Chromium y Mozilla Firefox.
- Recopile datos de aplicaciones de billeteras de criptomonedas como MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live y Bitcoin Core, junto con Discord, Slack, Teams, OpenVPN, WireGuard y Windows Credential Manager.
- Recopile detalles sobre hosts conocidos de SSH, conexiones RDP guardadas, perfiles de Wi-Fi y artefactos de contraseña de preferencias de política de grupo.
- Exfiltre datos a un servidor remoto (“helloxcherry(.)com”) y sondee el servidor para recibir comandos de tareas.
- Realice reconocimientos y priorice sistemas que puedan ampliar el alcance del compromiso.
- Cifre archivos asociados con operaciones comerciales, desarrollo de software, ingeniería, almacenamiento de datos e infraestructura virtual mediante la API de criptografía de Windows y entregue una nota de rescate que contenga instrucciones de pago y temporizadores de fecha límite que muestren cuánto tiempo queda antes de que se aumente el monto del rescate.
- Inhiba la recuperación del sistema finalizando el Servicio de instantáneas de volumen y eliminando las instantáneas.
- Elimine rastros de artefactos utilizando un subsistema de limpieza antiforense para complicar los esfuerzos de respuesta a incidentes.
- Interactúa directamente con las estructuras del disco, probablemente en un esfuerzo por dañar la información de la partición, los registros de arranque u otras áreas críticas de la unidad, lo que efectivamente inutiliza el sistema.
“CrownX representó la etapa final de extorsión, pero el daño se extendió mucho más allá del cifrado en sí”, dijo la compañía. “Para cuando apareció la nota de rescate, el marco más amplio ya había recopilado credenciales, establecido comunicaciones C2, preparado múltiples caminos para el movimiento lateral y debilitado las opciones de recuperación local”.
Otro detalle importante es que Avalon muestra signos de desarrollo asistido por inteligencia artificial (IA), un desarrollo que ha ensamblado múltiples componentes sin tener en cuenta las técnicas sofisticadas o la seguridad operativa, algo que requiere una experiencia significativa para construir.
Los hallazgos son otra señal más de cómo la IA puede reducir la barrera de entrada, haciendo que el desarrollo de malware sea más accesible con poco tiempo y esfuerzo, e incluso permitiendo a actores con poca experiencia técnica y recursos idear herramientas que pueden requerir un gran esfuerzo de desarrollo. En otras palabras, la presencia de una determinada capacidad ya no es un indicador confiable de la sofisticación o madurez operativa de un actor de amenazas.
“La cadena de destrucción ilustra cómo un atractivo comercial familiar puede progresar hacia un marco reutilizable y de múltiples capacidades diseñado para recolectar credenciales, recuperar cargas útiles posteriores completamente en la memoria y organizar múltiples acciones de seguimiento desde un único punto final comprometido”, dijo Blackpoint Cyber.
LLM detrás de un ataque de ransomware agente
La divulgación se produce cuando Sysdig detalló lo que dijo fue la primera infección de ransomware agente documentada públicamente impulsada por un modelo de lenguaje grande de principio a fin, mientras reintentaba y ajustaba sus acciones en tiempo real para completar tareas. El actor de amenaza agente (ATA) detrás de la operación recibió el nombre en código JADEPUFFER.
El operador “obtuvo acceso inicial a una instancia de Langflow orientada a Internet a través de CVE-2025-3248 y ejecutó una campaña adaptativa y totalmente automatizada, que finalmente giró hacia el objetivo previsto y ejecutó un manual destructivo de extorsión de bases de datos contra el servidor de bases de datos de producción de la víctima”, dijo Michael Clark de Sysdig.
“Las habilidades para ejecutar ransomware se han reducido a lo que cueste ejecutar un agente, y si ese agente se ejecuta con credenciales robadas a través de LLMjacking, el costo para un atacante es cercano a cero”.
Malware de IA que utiliza LLM en un ataque sin código
Los hallazgos también siguen al descubrimiento de un malware de IA que combina un bot de Telegram con una API pública de LLM para diseñar un ataque sin código. Una vez lanzado, el implante transmite detalles básicos sobre el sistema comprometido al bot de Telegram del atacante y entra en un bucle de comando y control (C2) que sondea la API del bot cada 5 segundos en busca de nuevos mensajes. Los resultados de la ejecución del comando se extraen utilizando el mismo canal.
La especialidad de este malware es que cada mensaje del operador se reenvía a un punto final público de la API LLM (“api.groq(.)com/openai/v1/chat/completions”), que luego traduce las instrucciones en lenguaje natural proporcionadas por el atacante a su comando de shell equivalente. El artefacto se subió a la plataforma VirusTotal el 11 de marzo de 2026 y hasta la fecha no ha tenido detecciones en todos los motores.
“Este trabajo introduce una capa de traducción LLM que reemplaza la sintaxis del shell con texto sin formato. El atacante escribe instrucciones de texto sin formato en Telegram”, dijo la Unidad 42 de Palo Alto Networks. “El LLM traduce las instrucciones en comandos de shell. Y la víctima ejecuta los comandos de shell. No se requieren conocimientos de línea de comandos”.



