كشف باحثو Blackpoint Cyber عن إطار برمجي خبيث جديد يحمل اسم Avalon، وهو إطار معياري غير موثق سابقًا، يتم توزيعه عبر سلسلة تصيّد متعددة المراحل قادرة على تجاوز أنظمة الحماية التقليدية. الهجوم يبدأ برسالة بريد إلكتروني مزيفة تتظاهر بأنها وثيقة قانونية، وتوجّه الضحية إلى أرشيف محمي بكلمة مرور على خدمة Proton Drive. داخل الأرشيف، يوجد ملف اختصار ويندوز باسم “Secure Document CA-283505.pdf.lnk”، والذي عند تشغيله يُطلق مشروع MSBuild مضمّن في صورة ISO. هذا المشروع يقوم بتحميل تجميع .NET خبيث، يعطل نظام تتبع الأحداث في ويندوز (ETW) لتقليل الرؤية الجنائية، ثم ينزل حمولة إضافية عبر HTTPS تؤدي إلى نشر إطار Avalon.
قدرات الإطار الخبيث “Avalon” ومكون الفدية “CrownX”
إطار Avalon يتميز بنظام متكامل لتجنب الكشف، مع تقنيات مصممة للتحايل على أدوات أمنية مثل Microsoft Defender وSentinelOne وCrowdStrike وSophos وElastic Endpoint وFortiEDR وESET وMcAfee وBitdefender. من أبرز وظائفه:
- جمع بيانات الاعتماد وملفات تعريف الارتباط وسجل التصفح من متصفحات Chromium وFirefox.
- سرقة بيانات محافظ العملات الرقمية مثل MetaMask وPhantom وCoinbase Wallet وExodus وElectrum وAtomic Wallet وLedger Live وBitcoin Core.
- جمع بيانات من تطبيقات التواصل مثل Discord وSlack وTeams، إضافة إلى بيانات OpenVPN وWireGuard ومدير بيانات اعتماد ويندوز.
- استهداف ملفات SSH وRDP وملفات Wi-Fi وبيانات سياسة المجموعة.
- إرسال البيانات إلى خادم خارجي (helloxcherry[.]com) مع تلقي أوامر تشغيل إضافية.
- تنفيذ عمليات استطلاع وتوسيع نطاق الاختراق عبر الحركة الجانبية.
- تشفير ملفات الأعمال والبنية التحتية باستخدام واجهة تشفير ويندوز، مع عرض مذكرة فدية باسم CrownX تتضمن تعليمات الدفع ومؤقتات زمنية لزيادة المبلغ.
- تعطيل خدمة النسخ الظلي وإزالة النسخ الاحتياطية لتعطيل الاسترداد.
- تنظيف الأدلة الجنائية لإعاقة التحقيقات.
- التفاعل المباشر مع بنية الأقراص لإتلاف سجلات الإقلاع أو الأقسام، مما يجعل النظام غير قابل للاستخدام.
دور الذكاء الاصطناعي في تطوير الهجمات
أحد الجوانب المثيرة هو أن Avalon يُظهر مؤشرات على تطويره بمساعدة الذكاء الاصطناعي، حيث جُمعت مكوناته المتعددة دون الحاجة إلى خبرة متقدمة في الحرفة الهجومية. هذا يعكس تحولًا في مشهد التهديدات، حيث أصبح بإمكان جهات ذات خبرة محدودة بناء أدوات معقدة بسرعة وبتكلفة منخفضة.
هجمات مدعومة بالـ LLM: من “JADEPUFFER” إلى هجمات بلا كود
تزامن الكشف مع تقرير من Sysdig حول أول إصابة فدية موثقة بالكامل يقودها نموذج لغوي كبير (LLM) من البداية للنهاية، حيث قام الفاعل المعروف باسم JADEPUFFER باستغلال ثغرة CVE-2025-3248 في منصة Langflow، ثم نفذ حملة تكيفية آلية انتهت بهجوم ابتزاز قواعد بيانات. كما رُصدت برمجية خبيثة أخرى تستخدم بوت Telegram مع واجهة برمجية عامة لـ LLM لتنفيذ هجوم بلا كود. يقوم المهاجم بكتابة تعليمات نصية عادية، ويقوم الـ LLM بتحويلها إلى أوامر Shell تُنفذ مباشرة على الجهاز المصاب، دون حاجة لأي معرفة تقنية متقدمة.
هذه التطورات تؤكد أن الذكاء الاصطناعي لم يعد مجرد أداة دفاعية، بل أصبح أيضًا وسيلة لتسريع وتبسيط تطوير البرمجيات الخبيثة، مما يفرض على المؤسسات إعادة التفكير في استراتيجيات الحماية والاعتماد على آليات أكثر صرامة لرصد السلوكيات غير الطبيعية.































