Sommario
Il panorama globale dell’intelligenza artificiale assiste a una svolta significativa nel primo trimestre del 2025: DeepSeek, modello AI sviluppato in Cina, supera ChatGPT in visite mensili a livello mondiale e si posiziona al terzo posto tra le piattaforme AI più utilizzate. Ma a questa rapida ascesa si affianca un fenomeno parallelo e preoccupante: una serie di attacchi informatici che sfruttano Google Ads contraffatti per infettare gli utenti DeepSeek con malware sofisticati. Una combinazione di successo e vulnerabilità che apre nuovi scenari per la competizione e la sicurezza nel settore AI.
DeepSeek: la piattaforma AI più rapida nella crescita globale
Nel mese di febbraio 2025, DeepSeek registra 525 milioni di visite mensili, superando i 500 milioni di ChatGPT, secondo i dati raccolti da aitools.xyz. Questo risultato colloca DeepSeek al terzo posto globale tra gli strumenti AI, con una quota di mercato del 6,58%, dietro solo a ChatGPT (43,16%) e Canva (8,27%). L’ascesa si rivela tanto più impressionante se si considera che la piattaforma è stata lanciata da pochi mesi.
Il successo si riflette anche nell’ambito mobile: il 27 gennaio, DeepSeek è diventata l’app gratuita più scaricata su App Store sia in Cina sia negli Stati Uniti, superando ChatGPT in classifica negli USA. Il giorno seguente, secondo i dati di QuestMobile, la piattaforma ha superato ChatGPT anche nei daily active users, raggiungendo i 30 milioni di utenti attivi già dal primo febbraio. È il primo software AI della storia a toccare questa cifra in così breve tempo.
Strategia di espansione e cambiamento nel panorama AI
Il boom di DeepSeek è attribuito alla combinazione di prestazioni elevate, funzionalità estese e posizionamento internazionale ben calibrato. Mentre OpenAI si concentra su un modello centralizzato e regolamentato, DeepSeek punta su un’architettura flessibile e multi-lingua, più vicina alle esigenze di mercati emergenti e business decentralizzati.
Il superamento di ChatGPT in alcuni indicatori rappresenta un segnale del cambiamento in atto: gli utenti cercano alternativa credibili all’egemonia occidentale in ambito AI, e DeepSeek capitalizza su questa richiesta offrendo funzionalità paragonabili a costi contenuti, spesso integrate con app native e senza limiti di accesso.
Campagne malware contro DeepSeek: Google Ads sotto attacco
Il successo di DeepSeek attira però anche l’attenzione dei cybercriminali, che sfruttano la sua popolarità per orchestrare campagne di distribuzione malware mascherate da annunci sponsorizzati su Google. La scoperta arriva dal team di ricerca di Malwarebytes, che segnala la presenza di falsi annunci pubblicitari nelle prime posizioni della SERP, destinati a utenti che cercano di accedere al sito ufficiale di DeepSeek.
Questi annunci, apparentemente legittimi, reindirizzano verso siti clone esteticamente simili a quello originale ma gestiti da attori malevoli. Il sito falso invita l’utente a scaricare l’app ufficiale di DeepSeek, ma il pulsante “Download” attiva l’installazione di un trojan codificato in Microsoft Intermediate Language (MSIL). Il malware, classificato come Malware.AI.1323738514, viene rilevato dai moduli AI di Malwarebytes e ThreatDown.
Tecnica di diffusione e siti contraffatti: ingegneria sociale evoluta
Le pagine compromesse imitano in modo accurato l’interfaccia ufficiale di DeepSeek, ma includono codici traccianti e file infetti. L’utente viene convinto dalla professionalità apparente del sito e dall’uso di nomi di dominio simili, rendendo difficile distinguere l’originale dal clone senza un’analisi accurata.
In alcuni casi, gli annunci sponsorizzati riportano nomi di inserzionisti scritti in caratteri ebraici, non riconducibili in alcun modo al team ufficiale di DeepSeek. Il sito malevolo scarica in background file eseguibili che, una volta lanciati, aprivano una backdoor per il controllo remoto del sistema, oltre a rubare credenziali, cookie e dati sensibili.
Analisi comportamentale del malware e modalità di infezione
Il trojan impiegato nei falsi siti DeepSeek viene eseguito tramite routine MSIL, un linguaggio intermedio compatibile con ambienti Windows. Questo approccio consente una maggiore evasione dai software antivirus tradizionali, che spesso analizzano i binari compilati ma non i codici in fase intermedia.
Il file eseguibile crea connessioni a server remoti e invia dati raccolti senza l’interazione dell’utente. I danni includono esfiltrazione delle credenziali del browser, accesso ai portafogli crypto locali, oltre al download di moduli secondari capaci di trasformare il dispositivo infetto in un punto d’accesso botnet.
Google Ads e sicurezza compromessa: rischio sistemico per gli utenti AI
L’indagine di Malwarebytes evidenzia ancora una volta le criticità nella gestione degli annunci sponsorizzati su Google. La piattaforma, incapace di filtrare in modo efficace i contenuti fraudolenti, consente ai malintenzionati di pagare per posizionare contenuti infetti sopra i link legittimi. La legittimazione implicita data dal formato “Sponsored” induce molti utenti a fidarsi del risultato, esponendosi al rischio senza rendersene conto.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
I ricercatori consigliano di evitare sempre i risultati sponsorizzati, preferendo link organici, oppure utilizzare estensioni browser che bloccano la pubblicità. In alternativa, si suggerisce di verificare manualmente la fonte cliccando sui tre puntini accanto all’URL e controllando il nome dell’inserzionista.
