Angrepet starter med en e-post om et falskt juridisk dokument som leder til et passordbeskyttet arkiv på Proton Drive. Inne i en ISO-fil ligger en snarvei kalt «Secure Document CA-283505.pdf.lnk». Klikker du, kjøres et MSBuild-prosjekt som laster en .NET-komponent, slår ut Event Tracing for Windows for å skjule spor, og henter selve Avalon over HTTPS.
Rammeverket er omfattende. Det stjeler passord og cookies fra nettlesere, tømmer kryptolommebøker som MetaMask og Phantom, henter data fra Discord, Slack og VPN-klienter, sprer seg lateralt, krypterer filer med Windows Cryptography API og sletter Volume Shadow Copy slik at gjenoppretting blir vanskelig. Til slutt kan det skade partisjonstabeller og boot-sektorer og gjøre maskinen ubrukelig. CrownX er bare sluttfasen.
Det interessante for oss er hva forskerne sier om opphavet. Komponentene er satt sammen med lite hensyn til tradecraft og operasjonell sikkerhet, noe som tyder på KI-assistert utvikling. KI senker terskelen: en trusselaktør trenger ikke lenger dyp ekspertise for å bygge noe avansert, og tilstedeværelsen av en avansert funksjon er ikke lenger et pålitelig tegn på at aktøren er sofistikert.