セキュリティ企業Sophos X-Opsは最近、Anthropicが提供するClaude AIを模倣したフィッシングサイトclaude-pro[.]comが、Windowsユーザーに対してこれまで記録されていないリモートバックドアプログラムBeagleを配布していることを発見しました。このサイトは正規のClaudeインターフェースを模倣していますが、実際にはマルウェアの拡散に利用されています。攻撃者は同サイト上で「Claude-Pro Relay」という偽のツールを提供しており、ユーザーがダウンロードする約505MBのZIP圧縮ファイルの中に悪意のあるペイロードが隠されています。
Sophosの分析によると、BeagleはDLLサイドローディングチェーンを通じてシステムに侵入します。攻撃者は署名済みのG DATAアンチウイルス更新プログラムのバイナリを悪用し、暗号化されたデータファイルと組み合わせることで隠蔽実行を実現しています。研究者らは当初、これをPlugXの亜種と疑っていました。なぜなら、今年2月にLab52が報告したレポートでも、同様の署名済みバイナリとavk.dllのサイドローディングの組み合わせが記載されていたためです。しかしさらに確認を進めた結果、Beagleはまったく新しいバックドアプログラムであることが判明しました。この悪意のあるドメインのホスティングサーバーは2026年3月に構築され、現在も攻撃は続行中であり、活動中の悪質な広告キャンペーンの一環となっています。
