La popolarità degli strumenti di intelligenza artificiale generativa continua a offrire nuove opportunità ai criminali informatici. Una recente analisi di Sophos X-Ops ha individuato una campagna malevola basata su un falso sito dedicato a Claude, il chatbot sviluppato da Anthropic, con l’obiettivo di distribuire malware agli utenti Windows. Il dominio individuato dai ricercatori, claude-pro[.]com, imitava l’aspetto del sito legittimo di Claude, pur con una struttura più semplice e con funzionalità limitate.
Il caso rientra in una dinamica ormai ricorrente: i cybercriminali sfruttano nomi noti dell’AI per creare pagine credibili, spesso spinte tramite annunci sponsorizzati, risultati di ricerca manipolati o tecniche di SEO poisoning. L’obiettivo è portare l’utente a scaricare un presunto software legato all’intelligenza artificiale. Nel caso analizzato da Sophos, il sito proponeva un prodotto chiamato Claude-Pro Relay e distribuiva un archivio ZIP da circa 505 MB, denominato Claude-Pro-windows-x64.zip.
Come funziona l’attacco
Una volta scaricato, l’archivio contiene un installer MSI, Claude.msi, che deposita tre file nella cartella di avvio del sistema: NOVupdate.exe, NOVupdate.exe.dat e avk.dll. La tecnica usata è il DLL sideloading, una modalità di attacco che sfrutta componenti legittimi per caricare codice malevolo al posto di una libreria attesa dal programma. In questo caso, NOVupdate.exe risulta collegato a un updater firmato per prodotti antivirus G DATA, mentre la DLL caricata dagli attaccanti è malevola.
Il vantaggio per i criminali è evidente: il malware si nasconde dietro un componente apparentemente affidabile, con maggiori possibilità di eludere i controlli automatici e di confondere l’utente. Questa tecnica è già stata osservata in campagne associate a famiglie malware come PlugX, anche se Sophos precisa che l’attribuzione resta complessa e richiede ulteriori elementi tecnici.
DonutLoader e la backdoor Beagle
L’analisi tecnica mostra che la DLL malevola decripta un payload contenuto nel file NOVupdate.exe.dat e avvia shellcode riconducibile a DonutLoader, un loader open source usato per eseguire codice direttamente in memoria. Questo passaggio riduce la visibilità dell’attacco sul disco e complica le attività di rilevamento.
Il payload finale è una backdoor che Sophos ha chiamato Beagle. I ricercatori dichiarano di non aver trovato report pubblici precedenti su questa specifica backdoor. Beagle consente ai criminali di eseguire comandi, caricare e scaricare file, creare directory, rinominare elementi, elencare contenuti e rimuovere directory. La comunicazione con l’infrastruttura di comando e controllo avviene tramite il dominio license[.]claude-pro[.]com, con traffico TCP sulla porta 443 o UDP sulla porta 8080.
Per l’utente colpito, il rischio è significativo: una backdoor permette a chi controlla l’infrastruttura malevola di mantenere un accesso nascosto al dispositivo, con possibili furti di dati, movimenti laterali in rete o download di ulteriori strumenti dannosi.
Una campagna più ampia
Il falso sito Claude non sembra un episodio isolato. Sophos ha individuato altri campioni su VirusTotal con elementi tecnici simili, inclusi file osservati tra febbraio, marzo e aprile 2026. Alcuni campioni usano ancora il sideloading di DLL, ma con payload differenti, tra cui shellcode collegato ad AdaptixC2, framework open source per attività di red team già osservato anche in contesti legati ad attacchi ransomware.
La ricerca indica anche la presenza di domini potenzialmente collegati, tra cui riferimenti a nomi che richiamano soluzioni di sicurezza note. Questo schema suggerisce una possibile campagna a tema, con infrastrutture e tecniche adattate di volta in volta. Per Sophos, la presenza della stessa chiave XOR in più campioni può indicare una certa continuità di codice, anche se non basta per attribuire tutte le attività allo stesso gruppo.
Perché l’AI è diventata un’esca efficace
La campagna dimostra quanto l’interesse verso l’intelligenza artificiale sia ormai entrato anche nelle strategie di social engineering. Claude, ChatGPT, strumenti per sviluppatori, estensioni AI e servizi “Pro” sono nomi capaci di attirare utenti comuni, professionisti e team tecnici. Un sito ben costruito, con un dominio plausibile e una grafica coerente, può bastare per spingere al download.
Il rischio aumenta quando l’utente arriva alla pagina tramite un annuncio sponsorizzato o un risultato posizionato in alto nei motori di ricerca. La percezione di affidabilità del canale può ridurre l’attenzione verso dettagli essenziali, come il dominio reale, la provenienza del file o l’assenza di riferimenti ufficiali.
Le indicazioni per utenti e aziende
Il primo consiglio resta il più importante: scaricare software collegati a Claude solo dal sito ufficiale, claude.ai, o da canali indicati direttamente da Anthropic. Sophos invita inoltre a evitare link provenienti da annunci sponsorizzati quando si cercano strumenti sensibili, come applicazioni AI, wallet, client aziendali, VPN o software di sicurezza.
Per le aziende, il caso evidenzia la necessità di controlli sugli endpoint, monitoraggio delle cartelle di avvio, verifica dei download eseguiti dagli utenti e analisi delle connessioni verso domini sospetti. Sophos segnala in particolare la necessità di cercare eventuali presenze dei file NOVupdate.exe, avk.dll e NOVupdate.exe.dat, soprattutto nelle cartelle di startup, oltre al monitoraggio di connessioni verso claude-pro[.]com e license[.]claude-pro[.]com.
La lezione è chiara: l’AI è ormai un terreno di attacco anche nella fase di distribuzione del malware. La fiducia verso un marchio noto non può sostituire la verifica del dominio, della fonte e del file scaricato.
