Nel panorama digitale attuale, il 2025 si distingue per l’attenzione crescente verso l’intelligenza artificiale e, in particolare, verso DeepSeek, una piattaforma cinese che ha catturato l'interesse globale. A questa crescente notorietà si affianca l’osservazione preoccupante di nuove strategie da parte della criminalità informatica, pronta a capitalizzare la curiosità degli utenti verso innovazioni tecnologiche. Molti gruppi di cybercriminali hanno messo in atto elaborate strategie per ingannare gli utenti, creando siti web fasulli che emulano il portale ufficiale di DeepSeek, con l’obiettivo di veicolare malware mascherato da clienti desktop inesistenti.

La truffa del client fantasma

La strategia adottata dai cybercriminali è stata costruita con ingegno. Hanno registrato domini che sembrano ufficiali come "deepseek-pc-ai.com" e "deepseek-ai-soft.com", facendo leva sull’ingenuità degli utenti per indurli a scaricare un presunto client desktop di DeepSeek. Questa realtà, tuttavia, non corrisponde all’esistenza di una versione ufficiale dell’applicazione per Windows. I siti clonati sono progettati per riprodurre fedelmente l'aspetto del sito legittimo, incluso un’interfaccia attraente con pulsanti come "Scarica" e "Inizia ora" che invogliano a cliccare.

Quando l'utente ignaro clicca su questi pulsanti, un installer malevolo inizia a scaricarsi sul computer. Ciò che promette di essere un client di DeepSeek, in realtà, innesca una serie di script dannosi: queste operazioni si traducono in modifiche alle impostazioni di sistema, l'attivazione del servizio SSH in Windows e la configurazione di chiavi d'accesso per i criminali. Il risultato è un accesso remoto completo al dispositivo della vittima, senza che essa se ne renda conto.

Un elemento distintivo di queste operazioni è l’impiego del geofencing, una tecnica che consente di adattare i contenuti presentati in base alla posizione geografica dell’utente. Secondo studi condotti da Kaspersky, i visitatori con indirizzi IP russi sono reindirizzati verso una versione ridotta del sito, con testi generici su DeepSeek, presumibilmente generati tramite algoritmi di linguaggio. Al contrario, chi proviene da altre nazioni è diretto alla versione completa del sito falso, su cui sono presenti i pulsanti per il download del malware.

Questa differenziazione geografica suggerisce un’attenzione minuziosa nelle strategie di attacco, potendo riflettere le sue preferenze o tentativi di sfuggire ai controlli in specifiche aree.

Viralità sospetta sui social network

La diffusione di questi siti pirata avviene prevalentemente attraverso il social network X, dove post apparentemente genuini promuovono i link malevoli. Un esempio clamoroso ha coinvolto l'account della startup australiana Lumina Vista, probabilmente compromesso da criminali informatici. Nonostante il numero esiguo di follower, un loro post promozionale per il falso client DeepSeek ha ottenuto la straordinaria cifra di 1,2 milioni di visualizzazioni.

Quest'incredibile viralità è stata amplificata da una rete di bot che hanno dinamizzato il messaggio attraverso ripubblicazioni sistematiche. Caratterizzati da nomi e descrizioni standardizzate, questi bot rivelano la loro natura artificiale e orchestrata. Solo una manciata di utenti ha messo in dubbio l'affidabilità del link, mentre la maggior parte si è concentrata a discutere le differenze tra i vari modelli di intelligenza artificiale, ignorando un aspetto fondamentale: DeepSeek non è attualmente disponibile in una versione client nativa per Windows e può essere utilizzato esclusivamente tramite browser.

Rapida evoluzione del crimine informatico

La velocità con cui i cybercriminali modificano le loro tecniche in base alle novità emergenti nel panorama tecnologico è impressionante. In seguito all'introduzione di Grok-3, un'altra tecnologia di intelligenza artificiale, gli stessi autori hanno iniziato a promuovere falsi client anche per questa piattaforma, variando i domini con nomi come "v3-grok.com" e "v3-deepseek.com", mescolando deliberatamente elementi di diverse tecnologie AI per ampliare il raggio d'azione delle loro operazioni.

Questa prontezza dimostra come i criminali siano costantemente vigili sulle tendenze tecnologiche, pronti a sfruttare la curiosità di quegli utenti che si avvicinano per la prima volta ai prodotti di intelligenza artificiale. La confusione creata tra i vari brand rappresenta un’ulteriore strategia per aumentare il successo dei loro attacchi.

Difendersi nell'era digitale

Utilizzare le tecnologie di intelligenza artificiale in modo sicuro richiede l’adozione di alcune misure preventive fondamentali. È fondamentale, in primo luogo, controllare sempre l'URL dei siti che si visitano, facendo attenzione specialmente ai servizi che sono nuovi o di tendenza. È facile cadere nella trappola di domini che sembrano ufficiali ma presentano lievi variazioni.

È altrettanto importante gestire con cautela le informazioni sensibili condivise con i chatbot AI. Come per qualsiasi servizio di cloud, esiste il rischio di attacchi alla sicurezza o di compromissione degli account. Limitare le informazioni riservate inviate a questi sistemi è una pratica fondamentale per garantire la propria sicurezza online.