Mustang Panda 新诱饵：假冒 Claude 安装包。22 秒打通 PlugX C2。

Mustang Panda（木马熊猫）换目标了。不再是蒙古的 NGO。这次是你——那个在搜索 "claude code download" 的开发者。

我们的 IOC 索引里目前坐着 82 个与 Claude 相关的指标。其中 29 个是过去 30 天内落地的。其中六个在 4 月 17 日通过一条路径串起来了——install-claude.com 释放了一个 IClickFix 加载器，配合一组 GitHub 仓库，托管着一个 PlugX 植入程序。从点击到首次 C2 回连：22 秒。

Mustang Panda 的对手档案写的是"以 PlugX 恶意软件瞄准非政府组织"。正确，但不完整。他们现在做的是伪造面向开发者的 AI 工具——仿冒 Claude，仿冒 Claude Code，仿冒 MCP 服务器。这个战术转向不是新闻稿里宣布的。它是我们在自家采集里翻出来的。

下面是他们此刻正在跑的东西。

2026 年 4 月 17 日 —— install-claude.com（IClickFix C2，置信度 90%）。github.com/XianLeeX/claude-api/releases/download/rel-v9.1.5/claude-code-installer.msi 和 github.com/hanrong123/claude/release/download/v1.2.9/ClaudeCode-Installer.msi 是对应的 MSI 下载载荷。PlugX 家族，Malwarebytes 在 4 月 13 日首先追踪到这套基础设施。

2026 年 4 月 15 日 —— github.com/wsbs20/claude-code-aso-skill 和 github.com/yomyoms/claude-proxy-flask。ClearFake 加载器，伪装成开发者工具。

2026 年 4 月 14 日 —— claude-install.com、claudecode-download.co.com、claude.gr.com、claudecode.gr.com。四个打出相同剧本的 SmartLoader C2 域名。

2026 年 4 月 13 日 —— claude-app-new.gitlab.io、claude-code-app.gitlab.io、claudeapp.gitlab.io。ClearFake 在 GitLab Pages 上。

2026 年 4 月 12 日 —— claudepage.pages.dev。Cloudflare Pages 托管未识别家族的 Stealer C2。

2026 年 4 月 9 日 —— download-version.1-5-8.com/claude.msixbundle。一个伪造的 MSIX 安装包。

2026 年 4 月 7 日 —— claude-desktop-app.bitbucket.io。这次轮到 Atlassian。

2026 年 4 月 6 日 —— claude-docs.com、claude-code-info.pages.dev、claude-code-main.pages.dev。未识别家族的 Stealer C2。

开发者信任的每一个主流免费托管平台都在这张名单上。Cloudflare Pages。GitLab Pages。Bitbucket。GitHub Releases。pages.dev。gr.com。co.com。攻击者已经把他们的诱饵网络迁移到开发者本来就信任的同一批基础设施上。

关键是 PlugX 信标。PlugX 是 Mustang Panda 运营多年的远程访问工具。它做凭证窃取、DLL 侧加载、持久化、横向移动。22 秒——点击假冒的 Claude 安装包到首个 C2 回连的时间——说明这个工具链是成熟的，不是临时凑的。

冷冰冰的对称：我们每天都在用 Claude。我们把它嵌进平台、用它做关联、用它做规则编写、用它做这篇博文的起草。开发者在找 "claude code download"。一个中国 APT 组织盯上了这个搜索词。他们在伪造的下载里投放了 PlugX。这不是假设——这是我们用源数据核实过的。

我们关注这件事，是因为我们就是他们的目标人群。我们在自己的威胁情报里搜索 Claude 主题的域名，因为我们用 Claude。你不能一边写 AI 驱动的代码，一边对那些在 AI 品牌上下注的威胁组织视而不见。

今晚你可以做什么。

如果你在企业网络上做 DNS 过滤，把上面 29 个域名在解析器层面拦掉。它们全在我们的 STIX 订阅里：analytics.dugganusa.com/api/v1/stix-feed/domains.csv

如果你是开发者，Claude Code 只从一个地方装：claude.com 或 claude.ai。别的任何"下载页"都是钓饵。

如果你在一家对 AI 工具治理长期松懈的公司做安全，这就是你的警钟。和采购谈谈。和法务谈谈。把这条规则写进基线配置：AI CLI 工具只能从官方域名安装。

Mustang Panda 从前通过给 NGO 发蒙古大选 PDF 做鱼叉邮件钓鱼。他们注意到那些载荷效果越来越差——NGO 现在警觉了。于是他们换了目标群体：那些相信 GitHub 链接的人。相信 gitlab.io 域名的人。相信 "claude code installer" 搜索结果的人。

95% 的时候，对这类东西的偏执是错的，一切都没事。剩下的 5% 是事发那一天。5% 是 PlugX 坐在你的开发机上，在 22 秒之内回连一个北京运营的 C2。

我们不敢说地球上每一个 Claude 主题的 IOC 都在我们这里。我们只敢说：过去 30 天进入我们采集的那些，我们标记了、关联了、发布了。这条帖子因此存在。

使命从来不是处理威胁。使命是在意结果。Mustang Panda 在意。他们换战术是因为他们在意自己是否能成功。我们在意，是因为我们就在那张射程表里。

一手资料：Malwarebytes 博客团队（ThreatDown），2026 年 4 月 13 日关于 Mustang Panda / 伪造 Claude 基础设施的报告。我们把他们在信息素资料里的 IOC 吸收进了我们自己的采集，用我们的关联管线在多个索引上交叉查询。

STIX 订阅：analytics.dugganusa.com/api/v1/stix-feed

域名 CSV：analytics.dugganusa.com/api/v1/stix-feed/domains.csv

对抗者档案：Mustang Panda（MITRE G0129 / ATK41 / TA416）。

你的品牌在 AI 模型眼里是什么样？

AIPM 已经审计了 250+ 域名。15 秒出结果。公测期间免费。

免费审计你的站点 → · 获取 STIX 订阅 →