Thought Leadership
Hacker locken mit einer gefälschten Claude-KI-Seite und verbreiten die Beagle-Malware. Sophos warnt vor DLL-Sideloading über legitime Sicherheitssoftware.
Sicherheitsforscher von Sophos und Malwarebytes haben eine aktive Cyber-Kampagne aufgedeckt, die gezielt Entwickler und Nutzer von KI-Modellen angreift. Unter der Domäne claude-pro[.]com wird eine täuschend echte Kopie der offiziellen Anthropic-Webseite betrieben. Statt des versprochenen „Claude-Pro Relay“-Dienstes für die Integration in Claude-Code-Projekte infizieren die Angreifer Windows-Systeme mit einer bisher undokumentierten Backdoor namens „Beagle“. Der Angriff nutzt fortgeschrittene Techniken wie DLL-Sideloading und In-Memory-Injektion, um gängige Sicherheitslösungen zu umgehen.
Die Täuschung: Gezieltes Phishing gegen KI-Entwickler
Die Angreifer positionieren ihr vermeintliches Produkt als „Hochleistungs-Relay-Service“, der speziell für die effiziente Nutzung von Claude-Code entwickelt worden sei. Die Webseite nutzt die typischen Design-Elemente, Farben und Schriftarten des legitimen KI-Anbieters Anthropic. Bei genauerer Untersuchung der Forscher von Sophos zeigte sich jedoch, dass die meisten Links auf der Seite lediglich auf die Startseite zurückleiten.
Einzig die Download-Schaltfläche führt zu einer Aktion: Dem Herunterladen eines rund 505 MB großen ZIP-Archivs namens Claude-Pro-windows-x64.zip. Dieses enthält einen MSI-Installer. Während der Installation wird eine funktionale, aber trojanisierte Kopie von Claude ausgeführt, um beim Nutzer keinen Verdacht zu erregen. Im Hintergrund startet zeitgleich eine Infektionskette, die eine PlugX-Malware-Infrastruktur im System verankert.
Hacker nutzen DLL-Sideloading
Sobald das bösartige Programm ausgeführt wird, kopiert der Installer drei Dateien in den Windows-Autostart-Ordner: NOVupdate.exe, NOVupdate.exe.dat und avk.dll. Der technische Clou liegt hierbei in der Ausnutzung der Vertrauenswürdigkeit legitimer Software. Bei der Datei NOVupdate.exe handelt es sich um einen offiziell signierten Updater der Sicherheitslösung G Data.
Die Angreifer nutzen das sogenannte DLL-Sideloading. Da die signierte NOVupdate.exe beim Start automatisch versucht, eine Datei namens avk.dll aus demselben Verzeichnis zu laden, injiziert sie unwissentlich den Schadcode der Hacker. Die bösartige DLL entschlüsselt anschließend den Inhalt der Datei NOVupdate.exe.dat. In dieser befindet sich der Open-Source-Injektor „DonutLoader“, der darauf spezialisiert ist, Payloads direkt in den Arbeitsspeicher zu laden, ohne Spuren auf der Festplatte zu hinterlassen.
Beagle-Backdoor nicht mit „Beagle/Bagle“-Wurm verwandt
Der finale Payload im Arbeitsspeicher ist die Beagle-Backdoor. Sophos betont in dem Bericht, dass dieser Schädling technisch nicht mit dem bekannten Delphi-basierten „Beagle/Bagle“-Wurm aus dem Jahr 2004 verwandt ist. Die moderne Beagle-Backdoor verfügt über ein präzises Set an Steuerungsbefehlen:
- cmd: Ausführung beliebiger Systembefehle.
- upload/download: Datentransfer zwischen Opfer und Angreifer.
- ls/rm/mkdir/rename: Vollständige Kontrolle über das Dateisystem.
- uninstall: Selbstlöschung des Agenten zur Spurenbeseitigung.
Die Kommunikation mit dem Command-and-Control-Server (C2) erfolgt über die Adresse license[.]claude-pro[.]com via TCP auf Port 443 oder UDP auf Port 8080. Die übertragenen Daten sind durch einen fest im Code hinterlegten AES-Schlüssel geschützt. Die IP-Adresse des Servers (8.217.190[.]58) gehört zum Adressbereich von Alibaba-Cloud.
Verbindung zu staatlichen Akteuren und PlugX
Obwohl Sophos keine abschließende Zuweisung (Attribution) zu einer spezifischen Bedrohungsgruppe vornimmt, gibt es starke Indizien für eine Verbindung zu den Betreibern der PlugX-Malware. PlugX wird in der Sicherheits-Community häufig mit staatlich unterstützten Akteuren aus dem asiatischen Raum in Verbindung gebracht. Die Methode, signierte G Data-Binärdateien für Sideloading zu missbrauchen, wurde bereits in der Vergangenheit bei PlugX-Aktivitäten beobachtet.
Weitere Analysen auf VirusTotal ergaben, dass Beagle-Samples bereits zwischen Februar und April 2026 unter anderen Masken auftauchten. Die Angreifer imitierten dabei Update-Seiten anderer namhafter Sicherheitsanbieter wie CrowdStrike, SentinelOne und Trellix oder nutzten Microsoft-Defender-Binärdateien für die Infektion. Dies deutet darauf hin, dass die Gruppe ihre Payload derzeit in verschiedenen Szenarien testet und ihre Infrastruktur aktiv skaliert.
„Claude-Pro“-Schutzmaßnahmen für Unternehmen
Die Forscher raten dringend dazu, KI-Software und zugehörige Entwickler-Tools ausschließlich über die offiziellen Portale der Hersteller zu beziehen. Gesponserte Suchergebnisse in Suchmaschinen sollten kritisch hinterfragt oder mithilfe von Werbeblockern ausgeblendet werden, da diese häufig von Hackern für „Malvertising“ missbraucht werden.
Ein klarer Indikator für eine Kompromittierung (Indicator of Compromise, IoC) ist die Existenz von Dateien mit dem Namen NOVupdate in Verzeichnissen, die nicht mit einer legitimen G Data-Installation in Verbindung stehen, insbesondere im Startup-Ordner des Benutzers. Administratoren sollten zudem den Netzwerkverkehr zu IP-Adressen im Alibaba-Cloud-Bereich überwachen, die ungewöhnliche TCP/UDP-Verbindungen auf den Ports 443 oder 8080 initiieren.
