📅 Source : GBHackers Security | Date de publication : 11 mai 2026

Contexte

Une campagne malveillante a été identifiée exploitant un faux site de téléchargement de l’IA Claude (Anthropic) pour distribuer un malware. Les attaquants ont enregistré le domaine claude-pro[.]com, imitant visuellement le site légitime d’Anthropic, afin de tromper les victimes.

Mécanisme d’attaque

La chaîne d’infection repose sur plusieurs composants :

  • 🎯 Malvertising : vecteur initial pour diriger les victimes vers le faux site
  • 📦 Installateur trojanisé : faux installateur Claude distribué via le site frauduleux
  • 🔗 DLL sideloading style PlugX : technique d’exécution furtive utilisant des composants de logiciels de sécurité signés légitimement
  • 🚪 Backdoor “Beagle” : nouveau backdoor Windows déployé en charge finale, permettant persistance et contrôle à distance

Caractéristiques notables

La campagne combine malvertising, ingénierie sociale (usurpation d’identité d’un outil IA populaire), et l’abus de binaires signés pour contourner les défenses. Le recours à des composants légitimes de logiciels de sécurité pour le sideloading vise à échapper à la détection.

Nature de l’article

Article de presse spécialisée relatant une campagne active de distribution de malware, avec pour but principal d’alerter la communauté cybersécurité sur une nouvelle menace combinant usurpation d’identité d’outil IA et techniques d’évasion avancées.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)

IOC

Malware / Outils

  • Beagle (backdoor)
  • PlugX (rat)

🔴 Indice de vérification factuelle : 34/100 (basse)

  • ⬜ gbhackers.com — source non référencée (0pts)
  • ✅ 854 chars — extrait court (5pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • claude-pro.com (domain) → VT (20/92 détections) + ThreatFox (PlugX)

🔗 Source originale : https://gbhackers.com/plugx-style-dll-sideloading-chain/

🖴 Archive : https://web.archive.org/web/20260514073723/https://gbhackers.com/plugx-style-dll-sideloading-chain/#google_vignette