Công ty an ninh mạng Sophos X-Ops gần đây đã phát hiện một trang web lừa đảo giả mạo Claude AI của Anthropic – claude-pro[.]com – đang phát tán một chương trình backdoor từ xa chưa từng được ghi nhận trước đây có tên Beagle tới người dùng Windows. Trang web sao chép giao diện Claude chính hãng nhưng thực chất dùng để phát tán phần mềm độc hại. Kẻ tấn công cung cấp một công cụ giả mạo có tên “Claude-Pro Relay” trên trang này. Tệp ZIP có kích thước khoảng 505MB mà người dùng tải về chứa tải trọng độc hại ẩn bên trong.
Phân tích của Sophos cho thấy Beagle xâm nhập hệ thống thông qua chuỗi tải DLL bên cạnh. Kẻ tấn công lạm dụng một tệp nhị phân đã được ký của chương trình cập nhật phần mềm diệt virus G DATA, kết hợp với các tệp dữ liệu được mã hóa để thực thi ẩn. Ban đầu, các nhà nghiên cứu nghi ngờ đây là biến thể của PlugX, vì báo cáo của Lab52 hồi tháng 2 từng mô tả sự kết hợp giữa tệp nhị phân đã ký và avk.dll tải bên cạnh tương tự. Tuy nhiên, sau khi xác nhận thêm, họ nhận thấy Beagle là một backdoor hoàn toàn mới. Máy chủ lưu trữ tên miền độc hại được thiết lập vào tháng 3 năm 2026 và cuộc tấn công vẫn đang tiếp diễn, thuộc một chiến dịch quảng cáo độc hại đang hoạt động.
