Nach Angaben von Blackpoint Cyber führte die Phishing-Mail zu einem passwortgeschützten Archiv auf Proton Drive. In dem eingebundenen ISO-Abbild befand sich eine Windows-Verknüpfung mit dem Namen „Secure Document CA-283505.pdf.lnk“. Wird sie geöffnet, startet sie einen Befehl, der ein im ISO-Abbild abgelegtes MSBuild-Projekt ausführt.

Dieses MSBuild-Projekt lädt laut den Forschern eine eingebettete .NET-Assembly. Anschließend greift diese in die normale Funktion von Event Tracing for Windows (ETW) ein, um die forensische Sichtbarkeit zu verringern, und lädt per HTTPS eine weitere Nutzlast nach, die Avalon startet.

Blackpoint Cyber beschreibt Avalon als Framework mit umfangreichen Mechanismen zur Umgehung von Schutzmaßnahmen. Dazu gehören Verfahren, die die Ausführung vor Sicherheitswerkzeugen von Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee und Bitdefender verbergen sollen. Die Forscher erklären, diese Fähigkeiten gäben dem Framework zahlreiche Möglichkeiten, Telemetrie zu reduzieren, Überwachung im Benutzermodus zu umgehen und seine Ausführung an die auf dem Host vorhandenen Schutzkontrollen anzupassen.

CrownX markiert laut Blackpoint Cyber die abschließende Erpressungsphase, doch der Schaden gehe über die bloße Verschlüsselung hinaus. Bevor die Lösegeldforderung erscheine, habe das übergeordnete Framework bereits Zugangsdaten gesammelt, C2-Kommunikation aufgebaut, mehrere Wege für laterale Bewegung vorbereitet und lokale Wiederherstellungsoptionen geschwächt.

Die Forscher sehen zudem Anzeichen für eine KI-gestützte Entwicklung von Avalon. Demnach wurden mehrere Komponenten zusammengeführt, ohne dass dabei großer Wert auf ausgereifte operative Vorgehensweisen oder operative Sicherheit gelegt worden sei. Zugleich handele es sich um Funktionen, deren Entwicklung erhebliche Fachkenntnisse erfordere. Blackpoint Cyber wertet das als Hinweis darauf, dass KI die Einstiegshürde für Malware-Entwicklung senken kann und damit auch Akteuren mit wenig technischer Erfahrung Werkzeuge zugänglich macht, deren Entwicklung sonst deutlich aufwendiger wäre.

In diesem Zusammenhang verweist der Quelltext auf weitere aktuelle Beobachtungen. Sysdig beschrieb nach eigenen Angaben die erste öffentlich dokumentierte agentische Ransomware-Infektion, die von einem großen Sprachmodell von Anfang bis Ende gesteuert worden sei. Der dahinterstehende Akteur mit dem Codenamen JADEPUFFER habe sich über eine öffentlich erreichbare Langflow-Instanz mittels CVE-2025-3248 initialen Zugriff verschafft und dann eine adaptive, vollautomatisierte Kampagne ausgeführt, die schließlich auf das eigentliche Ziel überging und eine destruktive Datenbank-Erpressungsroutine gegen den Produktions-Datenbankserver des Opfers startete.

Außerdem wurde eine KI-Malware entdeckt, die einen Telegram-Bot mit einer öffentlichen LLM-API kombiniert, um einen angriff ohne Codekenntnisse zu ermöglichen. Nach dem Start übermittelt das Implantat Basisinformationen über das kompromittierte System an den Telegram-Bot des Angreifers und tritt dann in eine C2-Schleife ein, die alle fünf Sekunden die Bot-API auf neue Nachrichten abfragt. Die Ergebnisse der Befehlsausführung werden über denselben Kanal zurückübertragen.

Palo Alto Networks Unit 42 zufolge liegt die Besonderheit darin, dass jede Nachricht des Operators an den öffentlichen LLM-API-Endpunkt „api.groq[.]com/openai/v1/chat/completions“ weitergereicht wird. Dieser übersetzt die natürlichsprachlichen Anweisungen des Angreifers in passende Shell-Befehle. Das Artefakt wurde am 11. März 2026 auf VirusTotal hochgeladen und weist dort bislang bei keiner Engine Erkennungen auf.