Troyano PlugX: cómo un sitio falso de Claude lo distribuye

Un sitio web fraudulento que se hace pasar por el dominio legítimo de Anthropic Claude está distribuyendo el troyano PlugX a través de una descarga falsa de la versión pro del modelo de lenguaje. Según el informe de Malwarebytes, los atacantes aprovechan la popularidad de Claude para engañar a usuarios desprevenidos que buscan acceder a la herramienta de IA, en una campaña que combina ingeniería social con una amenaza persistente bien conocida.

Puntos clave

Un actor de amenaza ha creado un sitio web falso que imita a Anthropic Claude para distribuir el troyano PlugX.
El método de infección consiste en un archivo ZIP que supuestamente contiene una versión «pro» del LLM, pero que en realidad instala un acceso remoto.
PlugX es un troyano de acceso remoto (RAT) utilizado por grupos APT desde hace más de una década, con capacidades de espionaje y control total del sistema.
Esta campaña muestra cómo los cibercriminales aprovechan la popularidad de las herramientas de IA para lanzar ataques de ingeniería social.
Recomendamos verificar siempre los dominios oficiales, usar soluciones de seguridad actualizadas y desconfiar de descargas «exclusivas» o «pro» no oficiales.

El sitio falso de Claude: una trampa para descargar el troyano PlugX

💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.

Según medios especializados, el dominio fraudulento fue diseñado para parecerse visualmente al sitio legítimo de Anthropic, incluso utilizando logotipos y textos similares. La única diferencia notable era un enlace de descarga que prometía acceso a una versión «pro» o «avanzada» de Claude, algo que la empresa no ofrece de forma pública. Al descargar y ejecutar el archivo ZIP, la víctima instala sin saberlo el troyano PlugX, que otorga al atacante un control remoto completo sobre el sistema comprometido.

Mecanismos de propagación del PlugX en esta campaña

El archivo malicioso se presenta como un instalador autónomo que, una vez ejecutado, despliega varias capas de ofuscación para evadir los antivirus. Analizamos que utiliza técnicas de living off the land (LotL) para camuflar sus actividades con herramientas legítimas del sistema operativo, como PowerShell o WMI. Tras la infección, el troyano PlugX establece una conexión con un servidor de mando y control (C2) alojado en una infraestructura efímera, lo que dificulta su rastreo.

Pantalla de ordenador mostrando una advertencia de seguridad frente a un sitio web fraudulento. — Foto: Markus Spiske vía Unsplash

Análisis técnico del troyano PlugX en esta campaña

PlugX no es una amenaza nueva; lleva más de una década en activo, asociado principalmente a grupos de Advanced Persistent Threat (APT) de origen asiático. Sin embargo, su aparición en una campaña que aprovecha la fiebre por la IA demuestra su adaptabilidad. En esta variante, detectamos capacidades estándar de RAT: captura de pulsaciones de teclado, robo de credenciales, acceso a la cámara web y micrófono, y la capacidad de exfiltrar documentos sensibles. Lo preocupante es su modularidad, que permite a los atacantes cargar plugins adicionales según los objetivos.

Indicadores de compromiso (IOCs) para detectar el PlugX

Fuentes del sector han compartido algunos IOCs relevantes, como hashes MD5 y SHA256 de los archivos maliciosos, dominios C2 y artefactos de persistencia en el registro de Windows. Recomendamos a los equipos de seguridad monitorear conexiones salientes a direcciones IP en rangos poco comunes, así como la creación de procesos con nombres genéricos como «svchost.exe» desde ubicaciones no estándar. La presencia de estos indicadores podría señalar una infección por el troyano PlugX.

Análisis de código malicioso del troyano PlugX en un entorno de investigación. — Foto: Glen Carrie vía Unsplash

Cómo protegerse de descargas fraudulentas de herramientas de IA

La ingeniería social sigue siendo el vector principal en esta campaña. Para mitigar el riesgo, es crucial educar a los usuarios finales sobre la importancia de verificar las URL oficiales (https://claude.ai) y de desconfiar de ofertas que parezcan demasiado buenas para ser verdad. Desde el punto de vista técnico, implementar listas de bloqueo de dominios maliciosos en los firewalls corporativos y mantener soluciones de endpoint detection and response (EDR) actualizadas puede interceptar la infección en fases tempranas.

Lecciones de ciberinteligencia para 2026

Esta incidencia refuerza una tendencia que observamos en lo que llevamos de año: los actores de amenazas están redirigiendo sus esfuerzos hacia plataformas de IA, dado su rápido crecimiento y la curiosidad que generan. Como analistas, subrayamos la necesidad de integrar fuentes de inteligencia de amenazas en tiempo real que monitoricen la aparición de dominios fraudulentos relacionados con tecnologías emergentes. La proactividad, más que la reacción, será clave para defenderse de campañas similares en el futuro.

Escudo de protección en ciberseguridad, simbolizando las medidas para evitar infecciones de malware. — Foto: Dimitri Karastelev vía Unsplash

Recursos y fuentes oficiales:

¿Sabrían tus empleados detectar un ataque de phishing real?

En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.

→ Solicita información sin compromiso