Comment l'attaque arrive vraiment
Le 3 juillet 2026, les chercheurs Nevan Beal et Sam Decker de Blackpoint Cyber, avec Palo Alto Networks Unit 42, ont révélé un cadriciel modulaire jusque-là inconnu qu'ils ont nommé Avalon. Il n'arrive pas comme une pièce jointe évidente. La chaîne part d'un courriel imitant un document juridique qui dirige le destinataire vers une archive protégée par mot de passe hébergée sur Proton Drive, et le code malveillant voyage dans une image ISO plutôt que dans un fichier que la passerelle de messagerie analyserait.
Ouvrir l'image la monte comme un lecteur, et un raccourci Windows déguisé en document lance MSBuild, un outil légitime de Microsoft, pour charger du code intégré qui manipule d'abord la journalisation des événements de Windows puis télécharge Avalon. Presque tout s'exécute en mémoire et laisse peu de traces sur le disque. L'échantillon a été déposé sur VirusTotal le 11 mars 2026 et n'a reçu aucune détection pendant environ quatre mois.
Il vise d'abord la couche de reprise
Ce qui distingue Avalon d'un rançongiciel ordinaire, c'est l'ordre des opérations. Avant tout chiffrement, le cadriciel récolte des identifiants dans les navigateurs, les gestionnaires de mots de passe et les profils VPN, SSH et Wi-Fi, puis se déplace latéralement vers exactement ce qui permettrait de se rétablir: contrôleurs de domaine, hôtes de virtualisation comme vCenter et Hyper-V, et plateformes de sauvegarde comme Veeam, Acronis, NetApp et Synology. En chemin, il efface les clichés instantanés de Windows.
Ce n'est qu'une fois la couche de reprise neutralisée que le module CrownX chiffre les fichiers avec une cryptographie authentifiée AES-GCM. Le cadriciel embarque aussi ses propres routines pour se cacher de neuf produits cités par leur nom: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee et Bitdefender. La thèse gênante n'est pas qu'un rançongiciel de plus existe; c'est que celui-ci est bâti pour rendre fausse la réponse habituelle, on n'a qu'à restaurer, avant même que le chiffrement ne commence.
Ce que cela change pour un opérateur
La leçon pratique ne dépend pas de la marque de point de terminaison que vous utilisez. Quand un kit est bâti exprès pour en aveugler neuf et pour effacer d'abord les sauvegardes, la détection devient une couche et non la garantie, et le contrôle qui tient encore est une copie que l'attaquant ne peut pas atteindre. Cela veut dire au moins une copie immuable ou hors ligne qu'un administrateur de domaine compromis ne peut pas supprimer, et une restauration que vous avez réellement testée ce trimestre et pas seulement supposée.
Deux détails relèvent l'enjeu pour les opérateurs européens. Trois des neuf outils contournés, Sophos, ESET et Bitdefender, sont des références européennes, donc une large part de la région utilise justement les produits contre lesquels ce kit a été réglé. Et les chercheurs relèvent des signes de développement assisté par IA, ce qui réduit le temps et le savoir-faire dont un groupe a besoin pour bâtir quelque chose d'aussi étagé, donc il en viendra davantage. Sous NIS2, la responsabilité de gérer cela revient à la direction désignée, pas seulement à l'équipe de sécurité.
À lire ensuite: Une seule faille chez un fournisseur a causé la moitié des victimes de rançongiciel en Europe | Le risque de jailbreak a maintenant une note



