Finti DeepSeek e Grok usati come esca, così vengono diffusi nuovi trojan

Nel panorama tecnologico del 2025, l’intelligenza artificiale cinese DeepSeek ha conquistato l’attenzione globale. Questa popolarità ha inevitabilmente attirato anche l’interesse della criminalità informatica, che ha rapidamente sviluppato strategie sofisticate per sfruttare la curiosità degli utenti verso questa nuova tecnologia. Numerosi gruppi di cybercriminali hanno infatti creato siti web che imitano quello ufficiale di DeepSeek per distribuire malware sotto forma di falsi client desktop.

La trappola del client inesistente

La strategia dei criminali informatici è tanto semplice quanto efficace: creare domini che sembrano ufficiali come “deepseek-pc-ai.com” o “deepseek-ai-soft.com”. Questi siti propongono agli utenti di scaricare un presunto client desktop di DeepSeek, nonostante questo non esista ufficialmente in versione Windows. La pagina clone riproduce fedelmente l’estetica del sito originale, inclusi i pulsanti “Scarica” e “Inizia ora” che invitano all’azione.

Una volta che l’utente fa clic su uno qualsiasi di questi pulsanti, inizia il download di un installer malevolo. Questo programma, invece di installare il client promesso, esegue script dannosi che modificano le impostazioni di sistema, attivando il servizio SSH in Windows e configurandolo con le chiavi degli attaccanti. Il risultato è l’accesso remoto completo al computer della vittima, che rimane ignara della compromissione avvenuta.

Un aspetto particolarmente sofisticato di queste campagne è l’utilizzo del geofencing, una tecnica che permette di mostrare contenuti diversi in base alla localizzazione geografica dell’utente. Le analisi di Kaspersky hanno rivelato che i visitatori con IP russi vengono reindirizzati a un sito elementare con testi generici su DeepSeek, probabilmente generati da un modello linguistico. Al contrario, gli utenti di altre nazioni visualizzano la versione completa del sito falso con i pulsanti di download del malware.

Questa differenziazione geografica suggerisce una strategia mirata che potrebbe essere legata a preferenze degli attaccanti o a tentativi di evitare rilevamenti in specifiche regioni. 

La diffusione di questi siti malevoli avviene principalmente attraverso il social network X, dove post apparentemente legittimi promuovono i link dannosi. Un caso emblematico ha coinvolto l’account della startup australiana Lumina Vista, con ogni probabilità compromesso dagli attaccanti. Nonostante i pochi follower, un loro post che promuoveva il falso client DeepSeek ha raggiunto 1,2 milioni di visualizzazioni.

L’innaturale viralità di questo contenuto è stata supportata da una rete di account bot che hanno contribuito alla sua diffusione attraverso ripubblicazioni sistematiche. Questi bot presentavano caratteristiche comuni come convenzioni di denominazione simili e testi biografici standardizzati, rivelando la loro natura artificiale.

Nei commenti al post virale, solo pochi utenti hanno segnalato la natura sospetta del link, mentre la maggioranza si limitava a discutere delle differenze tra vari modelli AI. Nessuno ha evidenziato l’incongruenza fondamentale: DeepSeek è accessibile solo via browser e non dispone di un client nativo per Windows.

L’evoluzione rapida delle minacce

La rapidità con cui questi attacchi si adattano alle novità del mercato è impressionante. Subito dopo l’annuncio di Grok-3, altra tecnologia AI emergente, gli stessi criminali hanno iniziato a promuovere falsi client anche per questa piattaforma, utilizzando domini come “v3-grok.com” e persino “v3-deepseek.com”, confondendo deliberatamente diverse tecnologie AI per massimizzare il raggio d’azione delle loro campagne.

Questa agilità operativa dimostra come i cybercriminali monitorino costantemente le tendenze tecnologiche per sfruttare la curiosità degli early adopter e la generale mancanza di familiarità con i nuovi prodotti AI. La confusione tra diversi brand rappresenta un’ulteriore tattica per aumentare le possibilità di successo dell’attacco.

Proteggersi nell’era dell’intelligenza artificiale

Per utilizzare in sicurezza le tecnologie di intelligenza artificiale è essenziale adottare alcune precauzioni fondamentali. Innanzitutto, verificare sempre l’URL dei siti visitati, prestando particolare attenzione quando si tratta di servizi nuovi o molto popolari. È facile cadere nella trappola di domini che sembrano ufficiali ma contengono piccole variazioni.

Altrettanto importante è la gestione consapevole dei dati sensibili condivisi con i chatbot AI. Come per qualsiasi servizio cloud, esiste sempre il rischio di violazioni della sicurezza o compromissione degli account. Filtrare le informazioni riservate prima di sottoporle a questi sistemi è una pratica essenziale.