Investigadores de cibersegurança identificaram uma campanha de disseminação de malware que se aproveita da popularidade crescente do DeepSeek AI, ferramenta de inteligência artificial generativa, para enganar usuários e invadir dispositivos com acesso remoto não autorizado. Com técnicas avançadas como geofencing, domínios falsos e orquestração por bots em redes sociais, o ataque já impactou mais de 1,2 milhão de usuários globalmente.
A ofensiva foi descoberta por analistas da Kaspersky, que revelaram uma cadeia de ações coordenadas envolvendo a criação de sites fraudulentos, amplificação artificial de conteúdo no X (antigo Twitter) e o comprometimento de contas corporativas para validar os golpes. O objetivo: induzir o download de um software que simula o DeepSeek, mas, na verdade, instala um malware com capacidade de controle remoto via SSH.
Réplicas de sites e bots coordenados: uma operação cirúrgica
O grupo criminoso por trás da campanha registrou domínios que imitam o endereço oficial do DeepSeek, como deepseek-pc-ai[.]com e deepseek-ai-soft[.]com. Os sites foram desenvolvidos para parecer legítimos, com o design semelhante ao do original. Uma das táticas mais sofisticadas foi o uso de geofencing, tecnologia que permite personalizar o conteúdo de acordo com a localização geográfica do usuário, dificultando a detecção por sistemas de monitoramento automatizados.
Segundo Vasily Kolesnikov, analista sênior de malware da Kaspersky Threat Research, “esta campanha demonstra uma sofisticação notável para além dos típicos ataques de engenharia social. Os atacantes exploraram o hype atual em torno da IA generativa, combinando geofencing direcionado, contas comerciais comprometidas e amplificação por bots.“
X como vetor principal de propagação
A plataforma X (ex-Twitter) foi o canal primário para impulsionar o golpe. Os cibercriminosos comprometeram a conta de uma empresa australiana, aparentemente legítima, para publicar links que direcionavam os usuários aos sites falsos. A publicação rapidamente ganhou tração: foram mais de 1,2 milhão de visualizações, graças ao compartilhamento massivo feito por uma rede de bots com nomes, perfis e comportamentos similares — evidência clara de amplificação coordenada.
Esse tipo de ação não só aumenta o alcance do golpe, mas também confere uma aparência de legitimidade e engajamento orgânico às publicações, o que pode influenciar mesmo usuários mais cautelosos a clicar nos links.
Instalação silenciosa de malware e acesso remoto
As vítimas que baixavam o suposto aplicativo DeepSeek, na verdade, instalavam um malware oculto. O instalador fraudulento acionava scripts PowerShell codificados, ativava o serviço SSH do Windows e o reconfigurava com chaves de acesso privadas sob controle dos invasores. Isso permitia acesso remoto total às máquinas infectadas, sem que o usuário percebesse qualquer alteração visível no funcionamento do sistema.
Esse vetor de ataque evidencia uma evolução preocupante nas campanhas de malware modernas: o uso de tecnologias legítimas e altamente técnicas para estabelecer persistência nos dispositivos invadidos, algo que antes era mais comum em ataques direcionados a ambientes corporativos.
Oportunismo em cima da IA generativa
A campanha reflete uma tendência crescente no universo do cibercrime: o aproveitamento do entusiasmo em torno de tecnologias emergentes para enganar usuários em busca de inovação. Com o avanço e a popularização de soluções de IA generativa como o DeepSeek, cresce também o número de pessoas — incluindo profissionais de TI — dispostas a experimentar novas ferramentas, muitas vezes sem verificar a origem dos downloads.
Para executivos de segurança da informação e líderes de tecnologia, o alerta é claro: a combinação entre marketing viral, engenharia social e ferramentas automatizadas de disseminação torna os ataques cada vez mais eficazes e difíceis de conter.
Conclusão: o que o CISO precisa saber
A campanha baseada no DeepSeek é um lembrete contundente de que a sofisticação dos ciberataques evolui na mesma velocidade das inovações tecnológicas. Para os líderes de TI e segurança, é fundamental adotar políticas rigorosas de verificação de fontes, monitoramento de redes sociais corporativas e treinamento contínuo das equipes sobre os riscos de engenharia social digital.
Além disso, a utilização de ferramentas de threat intelligence e a análise comportamental de tráfego podem ajudar a detectar ações incomuns, como o acesso remoto não autorizado via SSH ou a execução de scripts incomuns em endpoints corporativos.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
