Un site frauduleux imitant Claude AI propage le nouveau cheval de Troie Beagle

La société de cybersécurité Sophos X-Ops a récemment identifié un site de phishing imitant l’IA Claude d’Anthropic, claude-pro[.]com, qui distribue un cheval de Troie à distance jusqu’alors inconnu, nommé Beagle, aux utilisateurs Windows. Le site copie l’interface légitime de Claude, mais sert en réalité à propager un logiciel malveillant. Les attaquants y proposent un outil fictif appelé « Claude-Pro Relay ». L’archive ZIP d’environ 505 Mo téléchargée par les victimes dissimule la charge malveillante.

L’analyse de Sophos révèle que Beagle s’introduit dans le système via une chaîne de chargement latéral de DLL. Les attaquants exploitent un binaire signé du programme de mise à jour antivirus G DATA, associé à un fichier de données chiffré pour une exécution furtive. Les chercheurs ont d’abord suspecté une variante de PlugX, car un rapport de Lab52 en février faisait état d’une combinaison similaire de binaire signé et de chargement latéral d’avk.dll. Cependant, une analyse plus approfondie a confirmé que Beagle est un cheval de Troie totalement nouveau. Le serveur hébergeant ce domaine malveillant a été mis en ligne en mars 2026 et l’attaque est toujours en cours, dans le cadre d’une campagne de malvertising active.

Contrairement aux techniques traditionnelles de vol d’identifiants, cette attaque déploie directement un cheval de Troie à distance, représentant une menace sérieuse pour les utilisateurs Windows. Avec la popularité croissante des outils d’IA, les cas d’attaques imitant des plateformes d’IA réputées devraient augmenter. Les entreprises et les particuliers doivent n’accéder aux services d’IA que via les domaines officiels et éviter de télécharger des fichiers d’installation volumineux provenant de sources inconnues.