Mastodawn

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

LevelBlue - Open Threat Exchange

Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.

LevelBlue Open Threat Exchange

Donweb Media Apr 20

Estafa phishing de Claude: instalaba malware PlugX

En abril 2026, una campaña de estafa phishing Claude distribuyó el malware PlugX disfrazado de instalador oficial. Cómo funciona y cómo protegerte.

https://donweb.news/estafa-phishing-claude-malware-plugx-2026/

#phishing #malware #claude #plugx #seguridad

Estafa phishing de Claude: instalaba malware PlugX - DonWeb News

Malwarebytes detectó en abril de 2026 una campaña de phishing que distribuía PlugX disfrazado de instalador de Claude Pro para Windows.

DonWeb News

Alexandre Dulaunoy Apr 19

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Hackread.com Apr 15

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Fake Claude AI Installer Targets Windows Users with PlugX Malware

Fake Claude AI installer mimicking Anthropic spreads PlugX malware on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Hackread - Cybersecurity News, Data Breaches, AI and More

securityaffairs Apr 14

Fake #Claude AI installer abuses DLL sideloading to deploy #PlugX
https://securityaffairs.com/190754/malware/fake-claude-ai-installer-abuses-dll-sideloading-to-deploy-plugx.html
#securityaffairs #hacking #malware

Fake Claude AI installer abuses DLL sideloading to deploy PlugX

Fake Claude website impersonates Anthropic and delivers PlugX RAT via ZIP download using DLL sideloading...

Security Affairs

infosertecla.com Apr 13

Cuidado: Sitio web falso de Claude distribuye el malware PlugX RAT

Investigadores de seguridad han alertado sobre una campaña de phishing que utiliza un sitio web fraudulento de la IA «Claude» para infectar computadoras con el troyano de acceso remoto PlugX, permitiendo el control total del equipo (Fuente Malwarebytes).

La popularidad de la inteligencia artificial está siendo explotada nuevamente por cibercriminales. Se ha detectado un sitio web que imita a la perfección la interfaz de Claude (la IA de Anthropic) para engañar a los usuarios y lograr que descarguen un archivo ejecutable malicioso. En lugar de ofrecer herramientas de IA, el instalador despliega una variante del conocido troyano de acceso remoto (RAT) denominado PlugX. Una vez instalado, este malware permite a los atacantes robar credenciales, registrar las pulsaciones del teclado (keylogging), acceder a archivos privados y utilizar la cámara o el micrófono del dispositivo infectado sin el consentimiento del usuario.

El método de distribución suele basarse en anuncios engañosos en motores de búsqueda o publicaciones en redes sociales que prometen «versiones de escritorio premium» o «funciones gratuitas ilimitadas» de Claude. El malware utiliza técnicas de carga lateral de DLL (DLL side-loading) para evadir los antivirus convencionales, ocultándose dentro de procesos legítimos del sistema operativo. Esta táctica es común entre grupos de amenazas persistentes avanzadas (APT) y subraya la sofisticación de los ataques dirigidos a usuarios que buscan herramientas de productividad basadas en inteligencia artificial.

Expertos en ciberseguridad recomiendan a los usuarios acceder a Claude y otras plataformas de IA exclusivamente a través de sus dominios oficiales verificados. Es vital desconfiar de instaladores de escritorio que no provengan de tiendas oficiales como la Mac App Store o Microsoft Store, y mantener siempre activadas las soluciones de seguridad con protección en tiempo real. Este incidente es un recordatorio de que, en el auge de la IA, el sentido común y la verificación de las fuentes siguen siendo las defensas más efectivas contra el secuestro digital de datos.

#Alerta #arielmcorg #ciberseguridad #claude #hackeo #infosertec #InteligenciaArtificial #malware #phishing #PlugX #PORTADA #SeguridadDigital #tecnología

The Threat Codex Apr 3

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

I’d come running back to EU again: TA416 resumes European government espionage campaigns | Proofpoint US

Key findings From mid-2025 onwards, the China-aligned threat actor TA416 resumed observed targeting of European government and diplomatic organizations following a period of reduced EU-

Proofpoint

Hackread.com Mar 10

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

China-Linked Hackers Hit Qatar with Backdoor Disguised as War News

China-linked hackers targeted Qatar using fake war news lures to spread PlugX backdoor malware and spy on military and energy sectors.

Hackread - Cybersecurity News, Data Breaches, AI and More

StrikeReady Labs Dec 31

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

CyberNetsecIO Nov 4, 2025

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

Analysis of a cyber-espionage campaign by China-linked UNC6384 exploiting the unpatched Windows vulnerability CVE-2025-9491 to target European diplomats with the PlugX RAT.

CyberNetSec.io