사이버보안 기업 Sophos X-Ops는 최근 Anthropic의 Claude AI를 사칭한 피싱 사이트 claude-pro[.]com이 Windows 사용자에게 이전에 기록되지 않은 원격 백도어 프로그램 Beagle을 배포하고 있음을 발견했습니다. 이 사이트는 정품 Claude 인터페이스를 모방했지만 실제로는 악성코드 유포에 사용됩니다. 공격자는 사이트에서 'Claude-Pro Relay'라는 가짜 도구를 제공하며, 사용자가 다운로드하는 약 505MB ZIP 압축 파일 안에 악성 페이로드가 숨겨져 있습니다.
Sophos 분석에 따르면 Beagle은 DLL 사이드로딩 체인을 통해 시스템에 침투하며, 공격자는 서명된 G DATA 안티바이러스 업데이트 프로그램 바이너리를 악용하고 암호화된 데이터 파일과 결합하여 은밀하게 실행합니다. 연구진은 처음에 이를 PlugX 변종으로 의심했습니다. 올해 2월 Lab52의 보고서가 유사한 서명 바이너리와 avk.dll 사이드로딩 조합을 설명했기 때문입니다. 그러나 추가 확인 결과 Beagle은 완전히 새로운 백도어 프로그램으로 밝혀졌습니다. 해당 악성 도메인의 호스팅 서버는 2026년 3월에 구축되었으며, 현재도 공격이 진행 중으로 이는 활발한 악성 광고 캠페인의 일부입니다.
