Netcrook Logo
👤 CRYSTALPROXY
🗓️ 15 Apr 2026  

Appât IA, Commutateur de Malware : Comment un faux installateur Claude AI détourne les PC Windows

Des cybercriminels exploitent un faux installateur Claude AI convaincant pour déployer le malware PlugX, profitant de la ruée vers l’IA pour piéger des utilisateurs Windows sans méfiance.

Quand la curiosité rencontre la commodité, le danger n’est souvent qu’à un clic. C’est exactement ce qui s’est produit lorsque des cybercriminels ont lancé une nouvelle arnaque, déguisant un malware en installateur de l’outil Claude AI d’Anthropic, très populaire. Le résultat ? Une attaque sophistiquée, autant basée sur la ruse que sur la prouesse technique - et qui prend au dépourvu même les utilisateurs avertis.

En Bref

  • Des hackers ont créé un faux site Claude AI Pro proposant un installateur Windows.
  • L’installateur infecte les victimes avec le malware PlugX, donnant un accès à distance aux attaquants.
  • Le malware se cache derrière un fichier signé légitime (NOVUpdate.exe) via le DLL sideloading.
  • PlugX assure sa persistance en s’ajoutant au démarrage de Windows et communique avec des serveurs hébergés sur Alibaba Cloud.
  • Signe révélateur : l’installateur crée un dossier mal orthographié "Cluade" sur les machines infectées.

Au cœur de l’attaque : Vieilles ficelles, nouvelles cibles

Des chercheurs en cybersécurité de Malwarebytes ont récemment découvert une campagne où les attaquants ont profité de l’intérêt croissant pour les outils d’IA. Leur appât ? Un site web élégant, presque indiscernable de la page officielle d’Anthropic, proposant une version “Pro” de Claude AI pour Windows - un produit qui n’existe pas. Les victimes sont dirigées vers le site via des emails de phishing, où elles sont incitées à télécharger un fichier nommé Claude-Pro-windows-x64.zip.

À l’intérieur, un installateur apparemment inoffensif place un raccourci sur le bureau. Lorsqu’on clique dessus, il lance la véritable application Claude pour distraire l’utilisateur - tout en exécutant discrètement une charge utile bien plus malveillante : le malware PlugX. Cet outil d’accès à distance donne le contrôle du système de la victime aux attaquants en quelques secondes.

Le cœur technique de l’arnaque repose sur le DLL sideloading. En associant un exécutable légitime et signé de G DATA (NOVUpdate.exe) à une DLL malveillante (avk.dll), les attaquants contournent de nombreux antivirus. Windows fait confiance au binaire signé, qui charge alors le malware caché. Pour rester discret, le malware supprime les traces d’installation et masque les messages d’erreur, rendant la détection difficile.

En 22 secondes après l’infection, PlugX se connecte à un serveur de commande utilisant l’infrastructure Alibaba Cloud - une tactique de plus en plus courante pour masquer la localisation des attaquants. Le malware modifie également les paramètres système pour assurer sa persistance, s’exécutant à chaque démarrage du PC.

Bien que PlugX soit historiquement associé à l’espionnage soutenu par des États, notamment des groupes chinois, les experts avertissent que son code est désormais largement disponible sur les forums clandestins, rendant l’attribution difficile.

Pourquoi ça marche - et qui est à risque

Yagub Rahimov, PDG de Polygraf AI, souligne que la technique est ancienne mais efficace. “L’appât change - d’abord les logiciels piratés, maintenant les outils IA - mais la méthode reste la même : binaire signé, DLL malveillante, charge utile chiffrée,” explique-t-il. L’expansion de l’IA a élargi le cercle des victimes potentielles bien au-delà des professionnels de la tech, piégeant quiconque s’intéresse aux nouveaux outils numériques.

Les chercheurs préviennent que les attaquants sont agiles, changeant régulièrement leur infrastructure d’emails de phishing pour échapper à la détection. La règle d’or : toujours télécharger les outils IA depuis des sources officielles, et ne jamais faire confiance aux installateurs non sollicités - surtout si vous remarquez des anomalies comme un dossier “Cluade” ou des fichiers inconnus dans votre répertoire de démarrage.

Conclusion : Le prix de la curiosité

À mesure que les outils d’IA deviennent des noms familiers, les cybercriminels s’empressent d’exploiter à la fois leur popularité et la soif du public pour la prochaine grande nouveauté. La campagne PlugX rappelle brutalement ceci : dans le monde numérique, la confiance est le déguisement préféré des hackers. La vigilance - et une bonne dose de scepticisme - restent les meilleures défenses.

WIKICROOK

  • DLL sideloading : Le DLL sideloading consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers DLL malveillants au lieu des légitimes, permettant des attaques cachées.
  • PlugX : PlugX est un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de contrôler les ordinateurs infectés, souvent utilisé dans l’espionnage et le vol de données.
  • Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
  • Binaire signé : Un binaire signé est un fichier exécutable signé numériquement par une autorité de confiance, souvent utilisé par les attaquants pour contourner les contrôles de sécurité et diffuser des malwares.
AI Malware PlugX Phishing
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news