La empresa de ciberseguridad Sophos X-Ops descubrió recientemente que un sitio de phishing que suplanta a Claude AI de Anthropic, claude-pro[.]com, está distribuyendo un backdoor remoto no documentado llamado Beagle a usuarios de Windows. El sitio imita la interfaz legítima de Claude, pero en realidad se utiliza para la propagación de malware. Los atacantes ofrecen en el sitio una herramienta falsa llamada "Claude-Pro Relay"; al descargarla, los usuarios obtienen un archivo ZIP de aproximadamente 505 MB que contiene la carga maliciosa oculta.
Según el análisis de Sophos, Beagle se introduce en el sistema mediante una cadena de carga lateral de DLL. Los atacantes abusan de un binario firmado de actualización antivirus de G DATA, combinado con un archivo de datos cifrados, para lograr una ejecución encubierta. Inicialmente, los investigadores sospecharon que se trataba de una variante de PlugX, ya que un informe de Lab52 en febrero describió una combinación similar de binario firmado con carga lateral de avk.dll. Sin embargo, tras una verificación más profunda, se confirmó que Beagle es un backdoor completamente nuevo. El servidor de alojamiento del dominio malicioso fue creado en marzo de 2026, y el ataque aún está activo como parte de una campaña de malvertising en curso.
