Alerta: Malware PlugX se distribuye mediante sitios falsos de Claude Pro

En el panorama de la ciberseguridad actual, la adopción masiva de herramientas de inteligencia artificial ha creado un terreno fértil para el engaño. Recientes investigaciones han destapado una sofisticada campaña de phishing que explota el nombre de Anthropic y su popular asistente, Claude, para infectar estaciones de trabajo Windows con el temido malware PlugX. Este ataque, identificado en abril de 2026, utiliza una técnica conocida como DLL sideloading, que le permite operar bajo el radar de las soluciones de seguridad tradicionales al abusar de software legítimo y firmado digitalmente.

La fachada: Phishing de “Claude Pro”

La campaña se articula a través de una red de dominios fraudulentos diseñados para imitar la estética y el funcionamiento del sitio web oficial de Anthropic. Los atacantes no solo clonan la interfaz, sino que adaptan sus señuelos a las necesidades de los profesionales que buscan mejorar su productividad mediante la versión de escritorio de la herramienta.

Los usuarios son atraídos mediante correos electrónicos masivos, cuya infraestructura de envío rota constantemente a través de diversos proveedores. Esta táctica está diseñada específicamente para evadir los filtros de spam y las listas de bloqueo de dominios. Una vez que la víctima aterriza en el sitio malicioso, se le invita a descargar una supuesta “versión Pro” de la aplicación para Windows. Al hacerlo, el usuario descarga un archivo comprimido ZIP que, aparentemente, contiene el instalador legítimo, pero que en realidad alberga una trampa técnica diseñada para la ejecución silenciosa de código malicioso.

Anatomía del ataque: DLL Sideloading y PlugX

Lo que hace que esta campaña sea particularmente insidiosa no es el software malicioso en sí, sino el método de ejecución. El ataque emplea DLL sideloading, una técnica avanzada que engaña a las aplicaciones legítimas para que carguen librerías maliciosas en lugar de sus componentes originales.

¿Cómo funciona el Sideloading de DLLs?

El sistema operativo Windows sigue un orden específico para buscar las librerías de enlace dinámico (DLL) que una aplicación necesita para ejecutarse. Los atacantes explotan este comportamiento mediante los siguientes pasos:

• Distribución de un trío malicioso: El archivo ZIP descargado por la víctima contiene tres elementos clave: un ejecutable legítimo y firmado (en este caso, un actualizador de software de seguridad G DATA), una DLL maliciosa que suplanta a una librería legítima necesaria, y un archivo de carga útil (payload) cifrado (frecuentemente nombrado con extensiones como .dat).
• El engaño al ejecutable: Cuando el usuario lanza el ejecutable legítimo, este intenta cargar la librería necesaria para su funcionamiento. Debido a que la librería maliciosa se encuentra en el mismo directorio que el ejecutable y tiene el mismo nombre que la original, el sistema operativo le da prioridad, permitiendo que el ejecutable cargue el código malicioso involuntariamente.
• Ejecución del RAT: Una vez cargada en el espacio de memoria del proceso legítimo, la DLL maliciosa descifra y ejecuta el payload, que es una variante del **malware PlugX**. Dado que el proceso padre está firmado y es legítimo, muchas soluciones de seguridad de punto final no detectan la actividad maliciosa, al considerarla parte de una aplicación confiable.

El papel del RAT PlugX

El **malware PlugX** (también conocido como Korplug) es un troyano de acceso remoto (RAT) extremadamente versátil que ha estado activo durante más de una década. Su arquitectura modular permite a los atacantes:

1. Establecer una comunicación persistente con servidores de Comando y Control (C2).
2. Registrar pulsaciones de teclas (keylogging).
3. Capturar capturas de pantalla y robar archivos confidenciales.
4. Gestionar procesos del sistema y ejecutar comandos arbitrarios en la máquina de la víctima.

Al ocultar esta funcionalidad tras un proceso legítimo, los actores de amenazas pueden mantener un acceso persistente y discreto a los sistemas infectados, facilitando el espionaje corporativo y la exfiltración de datos.

La escalada de la amenaza: El peligro de la confianza digital

Esta campaña de **malware PlugX** pone de relieve una vulnerabilidad crítica: la confianza excesiva en los archivos firmados digitalmente. Los usuarios, y a menudo las herramientas de seguridad que carecen de un análisis de comportamiento avanzado, suelen asumir que un binario firmado es inherentemente seguro.

Además, el uso de infraestructura de correo electrónico en rotación demuestra una profesionalización de estos grupos criminales. Al no depender de un único proveedor de servicios de correo, los atacantes logran que sus campañas perduren más tiempo antes de que las plataformas de seguridad puedan identificar y bloquear la infraestructura de envío de manera efectiva.

Estrategias de mitigación y defensa

La defensa contra ataques de esta naturaleza requiere un enfoque de seguridad en profundidad (defense-in-depth). No basta con confiar en las defensas perimetrales; las organizaciones deben implementar controles granulares en los puntos finales:

• Implementación de EDR/XDR: Las soluciones de Detección y Respuesta en el Punto Final (EDR) que utilizan análisis de comportamiento son fundamentales. Pueden detectar anomalías en la ejecución de procesos —como cuando una herramienta de actualización legítima comienza a realizar conexiones de red inusuales o intenta manipular archivos del sistema—.
• Configuración de políticas de restricción de software: Limitar la capacidad de ejecución de archivos desde directorios de usuario, como “Descargas” o carpetas temporales, puede frustrar significativamente las técnicas de sideloading.
• Configuración de DLL segura: Windows ofrece mecanismos (como el modo “Safe DLL Search”) que, si se configuran correctamente, fuerzan al sistema a buscar librerías en ubicaciones más seguras antes que en el directorio local de la aplicación.
• Concienciación del usuario: La lección más importante es la verificación de las fuentes. Los profesionales deben descargar herramientas únicamente desde las páginas web oficiales de los fabricantes, verificando la URL en la barra de direcciones y evitando hacer clic en anuncios patrocinados de motores de búsqueda, que son frecuentemente utilizados en campañas de malvertising.

Conclusión

La amenaza del **malware PlugX** camuflado en instaladores falsos de herramientas de IA no es un evento aislado, sino el reflejo de una tendencia creciente: la instrumentalización de las herramientas de productividad modernas para fines maliciosos. Mientras la IA continúe siendo el foco de la atención empresarial, los atacantes seguirán refinando sus técnicas de ingeniería social y ofuscación técnica.

La clave para resistir estos ataques radica en entender que, en el ecosistema digital actual, la apariencia de legitimidad es una de las herramientas más potentes del adversario. Solo mediante el uso de defensas robustas de nueva generación, la formación continua de los usuarios y un escepticismo saludable ante las descargas “pro” no autorizadas, las organizaciones y los profesionales podrán salvaguardar sus entornos de trabajo contra estas incursiones cada vez más sigilosas.