كشف باحثو الأمن السيبراني عن إطار عمل برمجي خبيث ومعقد يُعرف باسم Avalon، والذي يعمل على نشر حمولة خبيثة مدمرة من برمجيات الفدية (Ransomware) تُدعى CrownX. يعتمد هذا التهديد الجديد على سلسلة معقدة من التصيد الاحتيالي (Phishing)، حيث يعمد إلى تعطيل أنظمة المراقبة وتجاوز أبرز أنظمة حماية نقاط النهاية لسرقة بيانات الاعتماد وتشفير البنية التحتية الحساسة.
تبدأ سلسلة الهجوم عبر رسالة بريد إلكتروني مزيفة تنتحل صفة مستند قانوني، وتوجه الضحايا إلى ملف أرشيف محمي بكلمة مرور مستضاف على منصة Proton Drive. ولتجنب اكتشاف الهجوم على مستوى البريد الإلكتروني، يتم تضمين المحتوى الخبيث داخل ملف ISO بدلاً من إرفاقه مباشرة. وبمجرد تفاعل المستخدم مع ملف اختصار لنظام Windows يحمل اسم (Secure Document CA-283505.pdf.lnk) داخل الملف الوهمي، تبدأ عملية الإصابة.
يؤدي هذا الاختصار إلى تشغيل أداة MSBuild التي تقوم بتحميل تجميعة NET. مدمجة. تتدخل هذه التجميعة فوراً لتعطيل ميزة تتبع أحداث Windows (ETW) بهدف إعماء أدوات التحليل الجنائي، قبل تنزيل الحمولة الخبيثة النهائية لبرمجية Avalon عبر بروتوكول HTTPS. صُمم إطار العمل خصيصاً للتهرب من الاكتشاف بواسطة منصات الحماية الكبرى، بما في ذلك برنامج Microsoft Defender، وبرنامج SentinelOne، وبرنامج CrowdStrike، وبرنامج Sophos، وبرنامج Elastic Endpoint، وبرنامج FortiEDR، وبرنامج ESET، وبرنامج McAfee، وبرنامج Bitdefender.
قدرات إطار العمل Avalon وبرمجيات الفدية CrownX
بمجرد تنشيطه، يُنفذ إطار Avalon اختراقاً شاملاً للنظام المضيف حتى قبل نشر برمجيات الفدية CrownX. وتشمل مجموعة ميزاته الواسعة ما يلي:
- جمع بيانات الاعتماد، وملفات تعريف الارتباط (Cookies)، وسجل التصفح، والإشارات المرجعية من المتصفحات المبنية على نواة Chromium ومتصفح Mozilla Firefox.
- استخراج البيانات من تطبيقات المحافظ الرقمية (مثل محفظة MetaMask، ومحفظة Phantom، ومحفظة Coinbase Wallet، ومحفظة Exodus، ومحفظة Electrum، ومحفظة Atomic Wallet، ومحفظة Ledger Live، ومحفظة Bitcoin Core) ومنصات التواصل (مثل تطبيق Discord، وتطبيق Slack، وتطبيق Teams، وتطبيق OpenVPN، وتطبيق WireGuard، وأداة Windows Credential Manager).
- جمع تفاصيل حول الأجهزة المضيفة المعروفة لبروتوكول SSH، واتصالات RDP المحفوظة، وملفات تعريف شبكات Wi-Fi، وعناصر cpassword الخاصة بتفضيلات نهج المجموعة.
- تسريب البيانات إلى خادم بعيد يحمل النطاق (helloxcherry[.]com) والتواصل المستمر مع الخادم لتلقي أوامر المهام الجديدة.
- إجراء عمليات استطلاع لتحديد أولويات الأنظمة التي يمكنها توسيع نطاق الاختراق.
- تشفير الملفات المرتبطة بالعمليات التجارية، وتطوير البرمجيات، والهندسة، وتخزين البيانات، والبنية التحتية الافتراضية باستخدام واجهة برمجة تطبيقات التشفير (Cryptography API) الخاصة بنظام Windows، يليها عرض رسالة فدية تتضمن مؤقتاً تنازلياً.
- منع استرداد النظام عن طريق إنهاء خدمة النسخ الاحتياطية اللحظية (Volume Shadow Copy) وحذف النسخ الاحتياطية.
- إزالة آثار الاختراق باستخدام نظام فرعي لتنظيف الأدلة الجنائية بهدف تعقيد جهود الاستجابة للحوادث.
- التفاعل المباشر مع هياكل الأقراص لإتلاف معلومات الأقسام، وسجلات الإقلاع، أو غيرها من المناطق الحساسة في محرك الأقراص، مما يجعل النظام غير قابل للاستخدام.
توضح سلسلة القتل كيف يمكن لطُعم تجاري مألوف أن يتطور إلى إطار عمل متعدد القدرات وقابل لإعادة الاستخدام، مُصمم لجمع بيانات الاعتماد، واسترداد الحمولات اللاحقة بالكامل في الذاكرة، وتنفيذ إجراءات متابعة متعددة انطلاقاً من نقطة نهاية واحدة مخترقة.
- شركة Blackpoint Cyber
صعود البرمجيات الخبيثة المدعومة بالنماذج اللغوية وبدون أكواد
يُظهر إطار Avalon علامات واضحة على الاستعانة بالذكاء الاصطناعي في تطويره، حيث يجمع بين وحدات معقدة دون الالتزام بمعايير الأمان التشغيلي التقليدية التي تتطلبها عادةً مثل هذه الأدوات المتقدمة. ويتسارع هذا الاتجاه بشكل ملحوظ، كما يتضح من هجوم منفصل لبرمجيات فدية مؤتمتة يحمل الاسم الرمزي JADEPUFFER. وقد اكتشفت شركة Sysdig هذه العملية التي استخدمت النماذج اللغوية الكبيرة (LLMs) لاستغلال الثغرة (CVE-2025-3248) بشكل مستقل في مثيل Langflow، مع تعديل إجراءاتها ديناميكياً لتنفيذ خطة ابتزاز تستهدف قواعد البيانات.
علاوة على ذلك، أفاد فريق Unit 42 التابع لشركة Palo Alto Networks مؤخراً عن اكتشاف برمجية خبيثة تعتمد على الذكاء الاصطناعي وتعمل بالكامل دون أكواد عبر روبوت في تطبيق Telegram وواجهة برمجة تطبيقات عامة لنموذج لغوي (api.groq[.]com). يقوم المهاجم ببساطة بكتابة تعليمات باللغة الطبيعية في تطبيق Telegram، ليقوم النموذج اللغوي بترجمتها إلى أوامر برمجية (Shell commands) ينفذها الجهاز المخترق. وقد تم رفع هذه البرمجية إلى منصة VirusTotal في مارس 2026، ولم تكتشفها أي من محركات الحماية حتى الآن.
انهيار حاجز المهارات التقنية بفضل الذكاء الاصطناعي
يؤدي دمج النماذج اللغوية الكبيرة (LLMs) في أطر العمل الخبيثة مثل Avalon وهجوم JADEPUFFER إلى تغيير جذري في مشهد الأمن السيبراني، حيث يفصل بين خطورة التهديد ومستوى خبرة المهاجم. تاريخياً، كان نشر إطار عمل متعدد المراحل ومقيم في الذاكرة يتطلب خبرة فنية عميقة وأماناً تشغيلياً صارماً. أما الآن، فتسمح طبقات الترجمة المدعومة بالذكاء الاصطناعي للمبتدئين بتنفيذ هجمات مؤتمتة ومعقدة باستخدام نصوص عادية.
يجعل هذا التحول مؤشرات الاختراق (IoCs) التقليدية غير موثوقة بشكل متزايد. فعندما تقوم البرمجيات الخبيثة بتوليد أوامر برمجية ديناميكياً عبر واجهات برمجة تطبيقات عامة مثل منصة Groq، تصبح التواقيع الثابتة عديمة الجدوى. ويتحتم على فرق أمن المعلومات في المؤسسات التحول نحو المراقبة السلوكية والتصفية الصارمة للبيانات الصادرة عبر واجهات برمجة التطبيقات، خاصة بعد أن انخفضت تكلفة إطلاق حملات برمجيات فدية شديدة التكيف وغير قابلة للاكتشاف إلى الصفر تقريباً.