Fake Claude Campaign Uses PlugX-Style DLL Sideloading Chain
2026/05/11 gbhackers — 偽の Claude AI Web サイトを背後で操るハッカーたちが、PlugX スタイルの DLL サイドローディング・チェーンを配布している。このチェーンにより、最終的に “Beagle” と呼ばれる新しい Windows バックドアが展開されると、Sophos X-Ops が報告している。このキャンペーンは、マルバタイジング/トロイの木馬化インストーラ/署名済みセキュリティ・ソフトウェア・コンポーネントを組み合わせることで、ステルス性の高い永続化とリモート制御を実現している。
具体的には、”claude-pro[.]com” を登録した攻撃者が、Anthropic の正規 Claude インターフェイスを視覚的に模倣したサイトを構築しているが、その実態は、架空のツール “Claude-Pro Relay” などの、最小限のダウンロード・リンクだけを用意する悪質なものである。
近年の AI テーマ型のマルウェア・キャンペーンで広く使用されている手法である、悪意の広告/検索エンジン・ポイズニングを通じて、このサイトへと被害者は誘導される。続いて、約 505 MB の Windows アーカイブ “Claude-Pro-windows-x64.zip” (“Claude.msi” という MSI インストーラを含む) が配布される。
![The claude-pro[.]com front page (Source : SOPHOS).](https://images.contentstack.io/v3/assets/blt38f1f401b66100ad/blt72941a3d0fe31c26/69fb4208cfd6c7340de0c89a/donuts-and-beagles-fake-claude-site-spreads-backdoor-01.png)
このインストーラが実行されると、ユーザーの Startup フォルダに “NOVupdate.exe”/”NOVupdate.exe.dat”/”avk.dll” の 3 ファイルが配置され、ユーザーのログイン時にチェーンが自動実行される仕組みとなっている。
ここで利用される “NOVupdate.exe” は、G DATA antivirus 製品に含まれる正規の署名済みアップデータ・コンポーネントであるが、同一ディレクトリ内の “avk.dll” を読み込むという性質が攻撃者に悪用されている。この動作を悪用する攻撃者は、PlugX などの高度なマルウェアで確認されている、典型的な DLL サイドロード手法に準じて、悪意の “avk.dll” を同一ディレクトリ内に配置している。
“NOVupdate.exe” が実行されると、攻撃者が用意した “avk.dll” が読み込まれる。この DLL が暗号化された “NOVupdate.exe.dat” を読み取り、その内容を逆順に反転させ、文字列 “Qby2RSGkGIHumNrDlbt1OEHV3y2dVh5b” から抽出したハードコード鍵を使用して XOR 復号を実行する。このプロセスは、解析を困難にするための典型的な難読化手法である。
こうして生成されたシェルコードは、”EtwpCreateEtwThread” を介してメモリ内で実行されるが、この署名済み EXE/悪性 DLL/暗号化ペイロードという 3 要素構成は、従来の PlugX キャンペーンで確認されているチェーンと一致している。なお、復号されたシェルコードの正体は “DonutLoader” (別名 Donut/donut_injector) である。この “DonutLoader” は、追加の実行ファイルをディスクへ書き込むことなく .NET/PE ペイロードをメモリへ直接インジェクトする、オープンソースのインメモリ・ローダである。
PlugX スタイル DLL サイドロードチェーン
このキャンペーンでは、Sophos が “Beagle” と命名した新たな Donut バックドアがロードされる。この軽量バックドアが備えるのは、自己削除/任意コマンド実行/ファイル・アップロード/ファイル・ダウンロード/ディレクトリ一覧表示/ディレクトリ削除/ファイル名変更などを可能にする機能的なコマンド・セットである。
![The download link on the claude-pro[.]com site (Source : SOPHOS).](https://images.contentstack.io/v3/assets/blt38f1f401b66100ad/blt4e0c96078d8ee222/69fb42284d1ef93e95ecd3e5/donuts-and-beagles-fake-claude-site-spreads-backdoor-03.png)
Beagle は、TCP 443/UDP 8080 を介して “license[.]claude-pro[.]com” 上の C2 サーバと通信する。その通信にはハード・コード鍵 “beagle_default_secret_key_12345!” とパケットごとに生成される 16 バイトの IV (Initialization Vector) を使用した AES 暗号化が採用されている。さらに、JSON 形式メッセージでハートビート “type: 10” とタスク指示 “type: 11” を区別することで、侵害システムへのコマンド投入と配信を、攻撃者が自在に実行できる環境を整える。
また、悪性 Claude サイトは Cloudflare によりプロキシされているが、研究者がオリジン・サーバ “209[.]189[.]190[.]206” を指す Cloudflare Origin 証明書を確認できたことで、攻撃者による運用上のミスが示唆される。
さらに “178[.]128[.]108[.]89” 上では、同一オペレーターとの関連が疑われる不自然な “コンプライアンス法務アドバイザリ” サイト “vertextrust-advisors[.]com” が確認されている。そのC2 通信ドメイン “license[.]claude-pro[.]com” については、IP アドレス “8[.]217[.]190[.]58” に関連付けられていることが判明した。
Sophos が VirusTotal 上で確認したものには、同一の XOR 鍵および DLL サイドロード・パターンを再利用する複数サンプルがある。それらの中には、AdaptixC2 インプラントや、 Trellix / CrowdStrike / SentinelOne を模倣したドメインへ接続する、シェルを配信するチェーンが含まれている。
こうしたコードとインフラの再利用が示唆するのは、攻撃者が PlugX スタイルのローダ・チェーンを維持しながら、異なる誘導テーマに合わせて最終ペイロードやブランドを切り替える、進化型ツール・キットを運用している状況である。
ユーザー組織にとって必要なことは、AI ツールのサードパーティ・ダウンロード・サイトを高リスクと見なし、ソフトウェアを公式ベンダー・ドメインからのみ取得する、ポリシーの徹底である。セキュリティ・チームは、以下を侵害指標として監視すべきである:
- 署名済み G DATA 実行ファイルが、ユーザー書き込み可能パスから非標準 “avk.dll” をロードする挙動。
- “license[.]claude-pro[.]com” への暗号化アウトバウンド通信。
- メモリ内での DonutLoader 実行。
さらに、マルバタイジング活動への対策として、スポンサー広告フィルタリング/広告ベース・ブラウジング・ポリシーの強化/PlugX 類似サイドロード・チェーン検知機能の導入を図ることが、感染リスクの低減において極めて有効である。
訳者後書:今回の攻撃の主な原因は、正規のプログラムが同じディレクトリ内の DLL ファイルを読み込む仕組みを悪用した、DLL サイドロードという手法にあります。具体的には、信頼されているセキュリティ製品の更新ファイルが、読み込むべき正規のファイルの代わりに、攻撃者が配置した悪意の DLL を読み込んでしまうことで、ウイルス対策ソフトの回避とマルウェア実行が可能になってしまいます。また、検索結果に偽のサイトを表示させる手法により、利用者が Claude AI の正規ツールをダウンロードするつもりで、自分から悪意のインストーラを実行してしまうことも大きな要因です。このように、本物のソフトウェアの動作や見た目が巧妙に模倣され、被害が広がる原因となっています。よろしければ、DLL Sideloading での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.