{"id":22630,"date":"2025-03-12T18:09:22","date_gmt":"2025-03-12T16:09:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22630"},"modified":"2025-03-12T18:09:22","modified_gmt":"2025-03-12T16:09:22","slug":"trojans-disguised-as-deepseek-grok-clients","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/trojans-disguised-as-deepseek-grok-clients\/22630\/","title":{"rendered":"Des chevaux de Troie se font passer pour des clients DeepSeek et Grok"},"content":{"rendered":"

Au d\u00e9but de l\u2019ann\u00e9e\u00a02025, le chatbot chinois DeepSeek a fait son entr\u00e9e sur la sc\u00e8ne de l\u2019IA. Il a suscit\u00e9 de nombreux commentaires et controverses dans le monde entier\u00a0: nous n\u2019avons pas manqu\u00e9 de remarquer la similitude de son logo avec le n\u00f4tre<\/a>, les comparaisons avec ChatGPT ont \u00e9t\u00e9 nombreuses<\/a>, et en Italie, en Cor\u00e9e du Sud, en Australie et dans d\u2019autres pays, DeepSeek a \u00e9t\u00e9 purement et simplement bloqu\u00e9<\/a>. Le battage m\u00e9diatique a \u00e9t\u00e9 (et reste) intense, y compris parmi les cybercriminels.<\/p>\n

Nous avons d\u00e9couvert plusieurs groupes de sites imitant le site Internet officiel du chatbot et distribuant des codes malveillants sous le couvert de ce qui semble \u00eatre un client l\u00e9gitime. Pour d\u00e9couvrir comment ces cybercriminels op\u00e8rent et comment utiliser l\u2019IA en toute s\u00e9curit\u00e9, lisez la suite\u2026<\/p>\n

Scripts malveillants et g\u00e9orep\u00e9rage<\/h2>\n

Plusieurs stratag\u00e8mes de distribution de programmes malveillants ont \u00e9t\u00e9 d\u00e9tect\u00e9s, tous ayant pour d\u00e9nominateur commun l\u2019utilisation de faux sites DeepSeek. La diff\u00e9rence r\u00e9side dans ce qui a \u00e9t\u00e9 distribu\u00e9 par ces sites et comment. Cet article explore en d\u00e9tail l\u2019un de ces stratag\u00e8mes\u00a0; pour en savoir plus sur les autres, consultez notre rapport complet sur Securelist<\/a>.<\/p>\n

Que penseriez-vous si vous tombiez sur un site dont le domaine est deepseek-pc-ai[.]com<\/em> ou deepseek-ai-soft[.]com<\/em>\u00a0? On pourrait penser y trouver des logiciels en rapport avec DeepSeek. Et de quel type de logiciel pourrait-il s\u2019agir\u00a0? D\u2019un client DeepSeek, bien s\u00fbr\u00a0! En effet, vous verrez rapidement le bouton lumineux T\u00e9l\u00e9charger<\/strong> et un autre l\u00e9g\u00e8rement plus terne D\u00e9marrer maintenant<\/strong> qui accueillent les visiteurs du site.<\/p>\n

\"Fausse<\/a>

Fausse page DeepSeek<\/p><\/div>\n

Quel que soit le bouton sur lequel vous cliquez, le t\u00e9l\u00e9chargement d\u2019un programme d\u2019installation commence. Toutefois, il y a un hic\u00a0: une fois lanc\u00e9, au lieu d\u2019installer DeepSeek, le programme d\u2019installation se connecte \u00e0 des URL malveillantes et manipule des scripts pour activer le service SSH de Windows et le configurer de mani\u00e8re \u00e0 ce qu\u2019il fonctionne avec les cl\u00e9s des auteurs de l\u2019attaque. Cela leur permet de se connecter \u00e0 distance \u00e0 l\u2019ordinateur de la victime, qui n\u2019a m\u00eame pas droit \u00e0 un client Windows DeepSeek en guise de consolation\u2026 qui, soit dit en passant, n\u2019est pas pr\u00e9sent.<\/p>\n

Il est int\u00e9ressant de noter que les faux sites utilisent le g\u00e9orep\u00e9rage<\/a>, qui consiste \u00e0 restreindre l\u2019acc\u00e8s en fonction de la r\u00e9gion o\u00f9 se trouve l\u2019adresse IP. Par exemple, les utilisateurs russes qui consultaient ces domaines voyaient un simple site avec des textes vagues \u00e0 propos de DeepSeek, tr\u00e8s probablement g\u00e9n\u00e9r\u00e9s par DeepSeek lui-m\u00eame ou par un autre grand mod\u00e8le de langage<\/a>. Les visiteurs d\u2019autres pays \u00e9taient toutefois dirig\u00e9s vers le site malveillant qui distribuait le faux client.<\/p>\n

Un million de vues sur X<\/h2>\n

Le principal vecteur de diffusion des liens vers les URL malveillants \u00e9tait les messages publi\u00e9s sur le r\u00e9seau social X (anciennement Twitter). L\u2019un des messages les plus populaires (aujourd\u2019hui supprim\u00e9) a \u00e9t\u00e9 publi\u00e9 sur le compte de la startup australienne Lumina Vista, qui, selon des sources ouvertes<\/a>, ne compte pas plus de 10\u00a0employ\u00e9s. Le compte de l\u2019entreprise lui-m\u00eame n\u2019en est qu\u2019\u00e0 ses d\u00e9buts\u00a0: il n\u2019a obtenu le badge bleu tant convoit\u00e9 qu\u2019en f\u00e9vrier\u00a02025, et ne compte qu\u2019une douzaine de messages et moins de 100\u00a0abonn\u00e9s. Or, le message faisant la promotion du faux site DeepSeek a \u00e9t\u00e9 vu 1,2\u00a0million de fois et a \u00e9t\u00e9 repost\u00e9 plus d\u2019une centaine de fois. Un peu \u00e9trange, n\u2019est-ce pas\u00a0? Nous avons enqu\u00eat\u00e9 sur les comptes qui l\u2019ont repost\u00e9 et avons conclu qu\u2019il pouvait s\u2019agir de robots, car tous utilisent la m\u00eame convention de d\u00e9nomination et les m\u00eames identifiants dans la biographie. Par ailleurs, il est tout \u00e0 fait possible que le compte de Lumina Vista ait \u00e9t\u00e9 simplement pirat\u00e9 et utilis\u00e9 pour la promotion payante de l\u2019annonce des pirates informatiques.<\/p>\n

\"1,2\u00a0million<\/a>

1,2\u00a0million de vues sur un compte presque vide\u00a0? \u00c7a sent la promotion payante \u00e0 plein nez<\/p><\/div>\n

Dans les commentaires, certains utilisateurs soulignaient que le lien menait \u00e0 un site malveillant, mais ils \u00e9taient minoritaires\u00a0: les autres donnaient simplement leur avis sur DeepSeek, Grok et ChatGPT. Cependant, aucun des commentaires ne relevait l\u2019\u00e9vidence\u00a0: DeepSeek n\u2019a pas de client natif pour Windows, et il n\u2019est possible d\u2019y acc\u00e9der que par le biais d\u2019un navigateur. Il est \u00e9galement possible d\u2019ex\u00e9cuter DeepSeek localement<\/a>, mais un logiciel adapt\u00e9 est alors n\u00e9cessaire.<\/p>\n

Comment utiliser l\u2019IA en toute s\u00e9curit\u00e9<\/h2>\n

\u00c0 l\u2019heure actuelle, il n\u2019est pas facile d\u2019\u00e9valuer l\u2019ampleur de ce projet ni d\u2019autres projets malveillants impliquant de fausses pages DeepSeek. Mais une chose est s\u00fbre\u00a0: ces campagnes sont de grande envergure et ne ciblent pas des utilisateurs particuliers. Il faut dire que ces campagnes se d\u00e9veloppent tr\u00e8s rapidement\u00a0: peu apr\u00e8s l\u2019annonce de Grok-3, des pirates informatiques ont commenc\u00e9 \u00e0 proposer le t\u00e9l\u00e9chargement de son client \u00e0 la fois sur le domaine v3-grok[.]com<\/em>, et sur\u2026 v3-deepseek[.]com<\/em>\u00a0! En effet, Grok ou DeepSeek \u2013 quelle diff\u00e9rence, n\u2019est-ce pas\u00a0?\u2026<\/p>\n

Sans protection fiable<\/a>, tout passionn\u00e9 d\u2019IA est en danger. C\u2019est pourquoi il est essentiel de respecter les r\u00e8gles et recommandations de s\u00e9curit\u00e9 lors de l\u2019utilisation de l\u2019IA.<\/p>\n