

Un responsable juridique d'une entreprise ouvre un email qui ressemble à un courrier officiel d'un tribunal. La pièce jointe n'est pas directement dans l'email : un lien pointe vers une archive protégée par mot de passe hébergée sur Proton Drive, ce qui contourne la plupart des passerelles de messagerie. Le mot de passe est dans le corps du message. L'archive contient une image ISO. L'ISO contient un raccourci Windows nommé "Secure Document CA-283505.pdf.lnk". Quand le document est ouvert, rien de visible ne se passe. En arrière-plan, une chaîne d'exécution de cinq étapes a démarré. Quarante-huit heures plus tard, les fichiers de l'entreprise sont chiffrés.
Ce scénario est la chaîne d'infection documentée pour Avalon, un framework malveillant modulaire découvert par les chercheurs Nevan Beal et Sam Decker de Blackpoint Cyber et analysé en juillet 2026. Avalon combine dans un seul outil le vol de credentials, le mouvement latéral, l'accès distant, la perturbation de la récupération et un ransomware interne baptisé CrownX. Ce n'est pas une famille de malware parmi d'autres : c'est un framework complet conçu pour conduire une attaque de bout en bout depuis un seul point de déploiement.
La première étape est l'email. L'attaquant usurpe un document juridique pour inciter la cible à ouvrir une archive hébergée sur Proton Drive. Le choix de Proton Drive n'est pas anodin : c'est un service légitime avec un certificat TLS valide, que la plupart des passerelles d'email ne bloquent pas. L'archive est protégée par mot de passe, ce qui empêche les outils d'analyse de messagerie d'en scanner le contenu.
La deuxième étape est l'ISO. Plutôt que d'attacher directement un exécutable, l'attaquant intègre la charge malveillante dans une image ISO. Quand Windows monte l'ISO, elle apparaît comme un disque supplémentaire dans l'explorateur de fichiers. Cette technique réduit la probabilité de détection au niveau de la couche email, car l'ISO elle-même ne contient pas de code exécutable immédiatement visible.
La troisième étape est le raccourci LNK. À l'intérieur de l'ISO se trouve un fichier LNK nommé "Secure Document CA-283505.pdf.lnk", conçu pour ressembler à un document PDF. Le double-clic sur ce fichier déclenche MSBuild, l'outil de compilation de Microsoft, avec un projet MSBuild intégré dans l'ISO comme argument.
La quatrième étape est le projet MSBuild. MSBuild charge un assemblage .NET embarqué dans son fichier projet. Cet assemblage effectue deux actions critiques : il interfère avec Event Tracing for Windows (ETW), le mécanisme de journalisation principal du système, pour réduire la visibilité forensique des opérations suivantes, puis il télécharge via HTTPS une charge de stade suivant depuis un serveur contrôlé par l'attaquant.
La cinquième étape est le déploiement d'Avalon. La charge téléchargée lance le framework complet. À partir de ce moment, l'attaquant dispose d'un accès complet à la machine, d'un outil d'espionnage des sessions, d'une capacité de mouvement latéral, et d'un ransomware prêt à déployer.
La première capacité d'Avalon documentée par Blackpoint Cyber est son module d'extraction de credentials. Sa portée est remarquable par sa largeur. Il cible les navigateurs basés sur Chromium et Mozilla Firefox, en extrayant les credentials sauvegardés, les cookies d'authentification, l'historique de navigation et les favoris.
Il cible également neuf applications de portefeuilles de cryptomonnaies : MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live, et Bitcoin Core. Pour les attaquants ciblant des entreprises du secteur financier ou des prestataires de services qui gèrent des actifs numériques, cette liste représente une capacité d'exfiltration directe de valeur.
Au-delà des navigateurs et des portefeuilles, Avalon extrait les credentials de Discord, Slack, Teams, OpenVPN, WireGuard, et du gestionnaire de credentials Windows. Il collecte les hôtes SSH connus, les connexions RDP sauvegardées, les profils Wi-Fi, et les artifacts cpassword des préférences de stratégie de groupe (GPP), une source d'identifiants Active Directory que de nombreuses organisations ont laissé traîner dans leurs partages SYSVOL depuis des années. Toutes les données collectées sont exfiltrées vers un serveur de commande et contrôle identifié par les chercheurs sous le domaine helloxcherry[.]com.
Avant de déployer ses modules d'attaque, Avalon cartographie l'environnement de défense présent sur l'hôte et adapte son comportement en conséquence. Les chercheurs de Blackpoint Cyber ont documenté des méthodes spécifiques destinées à contourner neuf solutions : Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee, et Bitdefender.
Ces méthodes comprennent la réduction de la télémétrie, le contournement de la surveillance en espace utilisateur (user mode monitoring), et l'ajustement du comportement d'exécution selon les contrôles détectés. L'interférence avec ETW effectuée lors de l'étape d'initialisation sert ce même objectif : en réduisant ce que les outils d'audit système capturent pendant la phase de déploiement, Avalon crée une fenêtre d'invisibilité pendant laquelle ses modules s'installent sans laisser de traces lisibles dans les journaux.
Cette capacité de détection et d'adaptation de l'environnement défensif est caractéristique des frameworks malveillants conçus pour des opérations prolongées plutôt que pour des déploiements rapides. Un ransomware qui se contente de chiffrer les fichiers le plus vite possible n'a pas besoin de contourner neuf solutions de sécurité spécifiques. Un framework qui prévoit de rester présent pendant des jours ou des semaines pour collecter des données, se déplacer latéralement, et choisir le moment optimal pour déclencher le ransomware en a besoin.
Le composant ransomware d'Avalon s'appelle CrownX. Il chiffre les fichiers associés aux opérations métier, au développement logiciel, à l'ingénierie, au stockage de données, et aux infrastructures virtuelles en utilisant l'API de cryptographie Windows. Cette sélection délibérée de catégories cible les fichiers dont la restauration depuis une sauvegarde est la plus coûteuse en termes de temps et de continuité opérationnelle.
Après le chiffrement, CrownX affiche une note de rançon contenant des instructions de paiement et des minuteries montrant combien de temps il reste avant que le montant de la rançon augmente. Cette mécanique de pression temporelle, combinée aux données déjà exfiltrées, place la victime dans une situation de double extorsion : payer pour récupérer ses fichiers et payer pour que les données volées ne soient pas publiées.
Avant de chiffrer, CrownX perturbe les mécanismes de récupération système. Il met fin au service Volume Shadow Copy et supprime les clichés instantanés, ce qui rend la restauration depuis des points de restauration Windows impossible. Cette étape est devenue standard dans les opérations ransomware modernes, mais elle mérite d'être notée ici parce qu'Avalon y ajoute un sous-système d'anti-forensics : à la fin de l'opération, un module de nettoyage supprime les artefacts laissés par le framework pour compliquer la réponse à incident.
La chaîne d'infection d'Avalon offre plusieurs points de détection pour les équipes qui ont mis en place la bonne surveillance. Le premier est l'utilisation de MSBuild comme vecteur d'exécution. L'invocation de MSBuild par un processus utilisateur non-développeur, en particulier avec un projet XML passé comme argument plutôt qu'un fichier de solution légitime, est un signal anormal que les règles de détection d'endpoint peuvent capturer.
Le deuxième est l'interférence avec ETW. Les outils EDR modernes surveillent les tentatives de manipulation des mécanismes d'audit système, et certaines implémentations de cette technique laissent des traces dans les journaux de sécurité Windows avant d'être effectivement actives.
Le troisième est l'exfiltration DNS ou HTTP vers helloxcherry[.]com. Ce domaine de commande et contrôle est maintenant publiquement documenté et devrait figurer dans les listes de blocage des solutions de filtrage réseau. Avalon contactant ce serveur pendant sa phase d'initialisation représente une opportunité de détection et d'interruption avant que le mouvement latéral ne commence.
Pour la défense en profondeur, la priorité doit être de désactiver la capacité des processus non-build à lancer MSBuild, de surveiller les modifications des fichiers de configuration VS Code et des tâches planifiées créées par des processus inhabituels, et de durcir les politiques de montage d'images ISO sur les postes de travail des utilisateurs qui n'ont pas de raison métier légitime d'ouvrir ce type de fichiers.
La résistance d'Avalon à neuf produits de sécurité distincts rappelle quelque chose que les équipes de défense oublient parfois : un framework malveillant suffisamment investi pour cibler des EDR spécifiques sera plus efficace contre ces EDR que contre des outils qu'il n'a pas été conçu pour contourner. La diversification des contrôles de sécurité, particulièrement sur la couche réseau et dans les journaux d'audit système, crée des angles de détection qu'un adversaire ciblant les endpoints ne peut pas tous neutraliser simultanément.
La liste des neuf wallets de cryptomonnaies ciblés par Avalon, MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live, Bitcoin Core, est une déclaration d'intention très précise sur le profil de victime que ses développeurs avaient en tête. Cette liste n'est pas accidentelle. MetaMask et Phantom dominent l'espace DeFi (finance décentralisée) Ethereum et Solana respectivement. Coinbase Wallet et Exodus sont orientés grand public et institutions. Electrum et Bitcoin Core s'adressent aux utilisateurs techniques qui gèrent directement leurs clés privées Bitcoin. Ledger Live est le logiciel de gestion pour les portefeuilles matériels Ledger, signifiant qu'Avalon cherche à contourner même la sécurité apportée par un hardware wallet.
Ce ciblage simultané de neuf wallets différents couvrant des marchés distincts suggère qu'Avalon a été développé ou adapté pour des opérations contre des fonds d'investissement crypto, des bourses d'échanges de taille moyenne, ou des prestataires de services qui gèrent plusieurs types d'actifs numériques simultanément. Un utilisateur particulier utilise généralement un ou deux wallets. Une société qui opère dans l'espace crypto utilise plusieurs solutions pour différents actifs et différentes fonctions. La largeur du ciblage d'Avalon est donc un indicateur du type d'organisation qu'il vise en priorité, même si des individus fortunés constituent également des cibles potentielles.
L'un des aspects les plus préoccupants d'Avalon pour les équipes de réponse à incident est son sous-système d'anti-forensics. Après avoir déployé CrownX et chiffré les fichiers cibles, Avalon active un module de nettoyage qui supprime les artefacts laissés par le framework au cours de l'attaque. L'objectif est de compliquer la reconstruction de la chaîne d'infection par les analystes forensics, ce qui ralentit l'identification du vecteur initial, l'estimation de l'étendue de la compromission, et la construction du rapport d'incident nécessaire pour les obligations de notification.
L'interférence avec ETW au stade initial de l'infection s'inscrit dans cette même logique d'anti-forensics. Event Tracing for Windows est le système de journalisation central de Windows qui alimente la plupart des outils SIEM et EDR. En réduisant ce que ETW capture pendant les premières étapes de l'infection, Avalon crée des lacunes dans les journaux que les analystes utiliseront pour reconstituer l'attaque. Ces lacunes ne sont pas des preuves de l'attaque en elles-mêmes, mais leur présence dans les logs d'un système compromis est un indicateur forensic spécifique à rechercher lors d'une investigation.
La suppression des Volume Shadow Copies (VSS) avant le chiffrement est une étape standard dans les opérations ransomware modernes, mais sa combinaison avec un nettoyage post-chiffrement et une interférence ETW crée un profil de détection particulier. Un système Avalon correctement instrumenté avec une journalisation de sécurité robuste laissera malgré tout des traces dans les journaux Windows Event Logs, les événements de création de processus, les connexions réseau, et les modifications de tâches planifiées. Le nettoyage d'Avalon cible les artefacts du framework lui-même, pas les journaux système standards que les outils de sécurité collectent en dehors du contexte du système compromis.
Avalon s'inscrit dans une tendance documentée vers les frameworks malveillants modulaires qui remplacent des outils spécialisés distincts par des solutions intégrées capables de gérer l'ensemble du cycle d'attaque. Cette évolution reflète une professionnalisation du développement malveillant et une volonté de réduire les empreintes multiples que générait l'utilisation de nombreux outils différents.
BruteRatel C4, documenté depuis 2022, a introduit ce modèle commercial pour les opérateurs de red team et les attaquants qui ont su s'en procurer des licences. JADEPUFFER, analysé dans le cadre du batch 7 de Defendis, va plus loin en ajoutant une couche d'orchestration par intelligence artificielle à la chaîne d'attaque. Avalon se distingue par l'intégration exceptionnellement large de ses capacités de vol de credentials, qui couvre explicitement neuf applications de wallets de cryptomonnaies et neuf solutions de sécurité à contourner, indiquant un développement très ciblé sur un profil de victime précis.
Cette précision dans le ciblage suggère un développement commandité ou au minimum très orienté par des besoins opérationnels spécifiques. Un framework qui prend la peine de viser explicitement MetaMask, Phantom, Coinbase Wallet, et Ledger Live simultanément a été conçu par quelqu'un qui comprend l'écosystème des actifs numériques et cherche à maximiser le rendement de chaque infection. Les entreprises de DeFi, les fonds crypto, et les prestataires de services financiers numériques sont le profil cible naturel d'Avalon.
La réponse à une infection Avalon confirmée ou suspectée doit tenir compte de deux caractéristiques importantes : le vol de données précède le chiffrement, et le sous-système d'anti-forensics complique la reconstitution de l'attaque. Ces deux facteurs modifient l'ordre des priorités par rapport à une réponse ransomware standard.
La première priorité n'est pas la restauration des systèmes mais l'identification de l'étendue de l'exfiltration. Avalon envoie les données volées vers helloxcherry[.]com avant de déclencher CrownX. Les logs de connexion réseau, les captures de flux sur le pare-feu, et les logs DNS doivent être préservés immédiatement et analysés pour identifier quels postes ont établi des connexions vers ce domaine ou vers des domaines associés. Cette analyse détermine l'étendue de la compromission des données et informe directement les obligations de notification aux régulateurs et aux personnes concernées.
La deuxième priorité est de révoquer immédiatement tous les credentials qui auraient pu se trouver sur les systèmes compromis. Les mots de passe de navigateur, les tokens d'API, les clés SSH, les credentials Active Directory et les tokens OAuth doivent être considérés comme compromis. Cette révocation doit précéder la restauration des systèmes, car restaurer un système depuis une sauvegarde sans révoquer les credentials exfiltrés laisse l'attaquant avec un accès valide à d'autres systèmes.
La troisième priorité est l'investigation forensic sur les journaux disponibles en dehors des systèmes compromis : journaux du pare-feu, du SIEM centralisé, et des outils EDR qui transmettent leur télémétrie vers une infrastructure externe. Le nettoyage d'Avalon ne peut pas effacer ce qui a déjà été transmis hors du système. Les événements de création de processus, les connexions réseau, et les modifications de tâches planifiées capturés par un SIEM avant la phase d'anti-forensics constituent la base de la reconstruction de la chaîne d'infection.
La leçon structurelle de l'architecture d'Avalon pour les équipes de sécurité est que les frameworks modulaires conçus pour des opérations prolongées sont fondamentalement différents des ransomwares opportunistes qui cherchent à chiffrer rapidement. Ils nécessitent une philosophie de détection différente, axée non pas sur les signatures ou les comportements ponctuels, mais sur les anomalies persistantes dans les patterns d'accès, les connexions réseau inhabituelles, et les modifications de configuration qui ne correspondent à aucun changement autorisé. Un SIEM correctement configuré avec des règles de corrélation adaptées au profil d'Avalon est l'investissement défensif le plus directement applicable face à ce type de menace.
Avalon est une démonstration que les adversaires bien financés n'ont plus besoin d'assembler manuellement plusieurs outils distincts pour conduire une opération complète. Un framework unique, une chaîne de livraison soigneusement construite, et une configuration adaptée au profil de la cible suffisent pour passer de l'email initial au chiffrement des données critiques en moins de 48 heures. La réponse défensive doit être à la hauteur de cette intégration, ce qui exige une visibilité cohérente sur toutes les couches : email, endpoint, réseau, et activité Azure AD.
La nature modulaire d'Avalon signifie également que ses capacités peuvent évoluer indépendamment de son infrastructure. Un nouveau module de vol ciblant une application émergente, un nouvel algorithme de chiffrement dans CrownX, ou une nouvelle technique d'évasion contre un EDR récemment déployé peuvent être ajoutés sans modifier l'architecture de livraison. Les organisations qui se défendent uniquement sur la base des indicateurs de compromission publiés pour Avalon s'exposent à des variantes futures qui ne correspondront plus aux mêmes signatures. La détection comportementale, centrée sur ce que le framework fait plutôt que sur son apparence, offre une résilience bien supérieure face à cette évolution inévitable des capacités de l'attaquant.
Les campagnes comme PolinRider, Avalon, Armored Likho ou ARToken ont toutes un point commun : elles ciblent les identifiants, les tokens d'authentification et les données d'entreprise avant que les victimes ne s'aperçoivent de la compromission. Defendis surveille en continu les marchés souterrains, les forums criminels et les sites de fuite où ces données apparaissent après une exfiltration. Si des credentials appartenant à votre organisation sont mis en vente ou publiés, vos équipes en sont informées avant que l'attaquant ne les exploite. Comprendre pourquoi la détection précoce change l'issue d'un incident ou demandez une démonstration adaptée à votre contexte.