Des chercheurs en cybersécurité de Kaspersky ont mis en garde contre une campagne sophistiquée de désinformation exploitant l’essor rapide et l’engouement du public pour DeepSeek AI, un chatbot d’intelligence artificielle générative très populaire.
Dans un rapport publié lundi, les experts de Kaspersky, entreprise de cybersécurité basée en Inde, ont révélé qu’une campagne s’appuyant sur la technologie de géorepérage, des comptes professionnels compromis et des réseaux de bots coordonnés, diffusait des logiciels malveillants déguisés en versions légitimes de DeepSeek.
Les équipes de recherche sur les menaces et l’intelligence artificielle de Kaspersky ont découvert que les cybercriminels avaient créé de fausses répliques du site officiel de DeepSeek, utilisant des noms de domaine tels que « deepseek-pc-ai[.]com » et « deepseek-ai-soft[.]com ».
Cette stratégie leur a permis d’attirer des utilisateurs peu méfiants et de les inciter à télécharger des logiciels infectés à la place des applications authentiques.
Vasily Kolesnikov, analyste principal des logiciels malveillants chez Kaspersky Threat Research, a souligné que les cybercriminels avaient habilement exploité la popularité croissante de l’IA générative en combinant géorepérage ciblé, compromission de comptes professionnels et amplification par des bots coordonnés pour toucher un large public.
« Les cybercriminels ont exploité l’engouement actuel autour des technologies d’IA générative en combinant de manière stratégique géorepérage ciblé, comptes professionnels compromis et amplification par des bots orchestrés. Cette approche leur a permis d’atteindre un large public tout en contournant soigneusement les défenses de cybersécurité », a expliqué Kolesnikov.
Le principal canal de diffusion de cette campagne a été la plateforme de médias sociaux X, où les cybercriminels ont compromis le compte d’une entreprise australienne pour propager massivement des liens frauduleux.
L’une des publications malveillantes a généré environ 1,2 million d’impressions et des centaines de partages par des comptes automatisés conçus pour amplifier la diffusion du contenu nuisible.
Les internautes ayant cliqué sur ces liens frauduleux ont été redirigés vers le téléchargement d’une fausse application cliente DeepSeek.
Au lieu du logiciel authentique, ils ont reçu des installateurs compromis qui communiquaient avec des serveurs de commande à distance pour exécuter des scripts PowerShell encodés en Base64.
Ces scripts activaient le service SSH intégré de Windows, permettant aux attaquants d’accéder sans autorisation aux systèmes infectés.
Pour se prémunir contre de telles menaces, les chercheurs de Kaspersky recommandent aux utilisateurs de vérifier scrupuleusement l’authenticité des URL avant de télécharger tout logiciel d’IA, d’utiliser des solutions de sécurité complètes et de maintenir leurs logiciels à jour afin de limiter les vulnérabilités exploitées par les logiciels malveillants.
JN/lb/Sf/te/APA
