DeepSeek爆火之下暗潮汹涌

刚刚过去的春节，DeepSeek一经发布即成为全球热议的现象级产品，引发了全球资本市场、科技从业者、政策制定者和普通用户的关注，并掀起安装与使用的热潮。
性能媲美ChatGPT、谷歌Gemini、LLaMA等大模型性能、模型训练成本预估只有不到600万美元、技术团队规模仅百余人……这些前所未有的成绩，不仅推动DeepSeek成为全球最受瞩目的AI大模型产品,也引起了黑灰产的觊觎。
一方面，冒用“DeepSeek”名称相关的恶意网址、App、木马等行为正在泛滥，另一方面，黑灰产也嗅到了“商机”，纷纷下场借助热度实施不法行为。为此，腾讯安全团队从外链和APP应用两个维度对其进行了深度分析。

• 疑似仿冒DeepSeek的域名爆炸式增长，春节前后累计观察到疑似仿冒DeepSeek的网站超过20000个。
  

• 1月31日新增疑似仿冒DeepSeek站点约3000个。
  

• 监测到大量仿冒站点，通过社交平台引流C端用户，指向虚拟币平台和色情网站。
  

• 监测到部分黑灰产，通过伪造提供DeepSeek本地部署和提供行业解决方案，对企业实施钓鱼攻击。
  

• 黑灰产仿冒DeepSeek植入木马，可能会进一步应用AI算法提高攻击成功率。
  

外链维度

1.1 每日活跃的站点数量增长趋势分析
1月26日开始传播量级已经初具规模，从1月31日开始，传播量级提速，当天新增疑似仿冒DeepSeek站点约3000个，2月7日后增速有所放缓，如图1.1所示。



图1.1 每日活跃的疑似仿冒DeepSeek站点数量分布图
1.2 疑似仿冒DeepSeek网站分析
1.2.1 虚拟币相关
如图1.2所示，在发现疑似仿冒DeepSeek站点快速增长时，我们利用网址关系链技术发现，这些疑似仿冒站点与一些境外常见的虚拟币交易平台有着十分密切的联系，因此猜测出现了打着DeepSeek旗号建立的新型虚拟币，如图1.3所示。



图1.2 与虚拟币交易平台有着密切关系的疑似仿冒DeepSeek站点



图1.3 打着DeepSeek旗号建立的虚拟币网站
同时我们还发现，与虚拟币交易平台有密切关系的仿冒DeepSeek站点，与常见的社交平台也有着十分密切的关系，这是因为新建的虚拟币需要借助社交平台来引流，如图1.4所示。



图1.4 借助境外常用社交平台来引流
此外，通过进一步分析，我们发现打着DeepSeek旗号建立的新型虚拟币呈现明显的团伙性质，首先这几个网站都利用halo快速建站构建，背后为同一团伙开发设计，并且具有明显IP聚集效应，如图1.5所示。



图1.5 打着DeepSeek旗号建立虚拟币团伙
1.2.2 色情导流相关
此外，如图1.6所示，通过网址关系链，我们还发现除了虚拟币之外，还有一些疑似仿冒DeepSeek站点与色情网站关系比较密切，如图1.7和1.8所示。



图1.6 仿冒DeepSeek网站导流到色情网站



图1.7 访问后直接跳转色情网站并诱导下载假冒的短视频APP，实际为色情APP



图1.8 一些网站中的广告可以随机跳转到色情网站或者虚拟币交易网站
1.2.3 可疑钓鱼网站
目前主要发现有两种可疑钓鱼网站，有声称可以帮助用户提供DeepSeek本地部署和提供行业解决方案的，如图1.9所示，也有以金融公司名义吸引线上会议的，如图1.10所示。



图1.9 可疑钓鱼网站1



图1.10 可疑钓鱼网站2
1.3 域名注册情况分析
1.3.1 域名注册时间分布
从域名注册时间来看，大部分域名都集中在最近半个月内注册，占比达到84.2%，如图1.11所示。



图1.11 疑似仿冒DeepSeek域名注册时间分布
1.3.2 域名注册服务商分布
从域名注册服务商来看，Top10的域名注册商占了总域名注册数量的79.8%，头部几个域名注册商占比相对集中，前五名分别为24.3%、11.6%、11.0%、9.3%、8.4%，如图1.12所示。


图1.12 疑似仿冒DeepSeek域名注册服务商分布

1.3.3 域名解析地理位置分布
从域名解析的IP地理位置来看，有53.8%位于北美洲，亚洲占比达到35.0%，其余主要分布在欧洲。如图1.13所示。


图1.13疑似仿冒DeepSeek域名解析IP位置分布

APP维度

2.1 最新动态总结
主要从仿冒DeepSeek家族的流行攻击技术研究和流行木马案例进行研究，通过对Top10的可疑木马样本进行分析，得出以下结论：

• 对DeepSeek进行重打包并植入恶意代码，致使用户在不知情下运行篡改程序时，弹出诱导窗口，诱导其下载来源不明且可能携带病毒、木马等恶意程序的破解软件。
  

• 用户在不知情的情况下运行仿冒DeepSeek程序，会出现诱导加入特定某即时通信软件群聊的弹窗。一旦加入，用户易陷入诈骗团伙圈套，面临信息泄露、网络诈骗及设备被恶意控制等风险。
  

• 利用打包平台生成假冒DeepSeek，用户注册需填特定邀请码方可进入。应用内置多项诱导性充值项目，具有“杀猪盘”式可疑诈骗特征，且强制用户设置交易密码以完成“资金操作”。
  

2.2 仿冒影响情况
2.2.1仿冒DeepSeek家族分布
如图2.1所示，仿冒DeepSeek家族中可疑欺诈类占比52%，可疑仿冒和可疑风险类占比均为17%，可疑银行木马类占比14%。



图2.1 仿冒DeepSeek恶意应用家族分布
2.2.2 仿冒DeepSeek家族Top10应用列表
如表2.1所示，仿冒DeepSeek家族Top10应用存在多种对抗手段，包括仿冒包名、包名随机化和仿冒图标等，这使得用户难以分辨真伪。



表2.1 仿冒DeepSeek家族Top10应用列表
2.3 仿冒具体案例分析
2.3.1 可疑诱导引流案例
基础信息

软件名	DeepSeek
包名	com.deepseek.chat
证书MD5	9AAB0C177A8A2B9F2DF842A94F1818D0

函数名称

函数		描述
android.app.Dialog.show		对话框弹窗
android.app.AlertDialog		对话框弹窗
Uri.parse		将一个网址字符串解析成为一个Uri对象

相关代码
该案例重新打包后植入恶意代码，运行后弹窗诱导加群，如图2.2所示，诱导加群代码如图2.3所示。



图2.2 DeepSeek重打包后植入恶意代码，通过某即时通信软件诱导加群



图2.3 运行后用android.app.Dialog.show弹出诱导加群的对话框
2.3.2 可疑仿冒案例
基础信息

软件名	DeepSeek
包名	com.deepseek.chat
证书MD5	64843786C6ADA15CA4254F4DA77E4978

函数名称

函数		描述
android.app.Dialog.show		对话框弹窗
android.app.AlertDialog		对话框弹窗
Uri.parse		将一个网址字符串解析成为一个Uri对象

相关代码
该案例重新打包后植入恶意代码，运行后弹窗诱导下载其他破解软件，如图2.4所示，诱导代码如图2.5所示。


图2.4 DeepSeek重打包后植入恶意代码诱导下载破解软件



图2.5 运行后用android.app.Dialog.show弹出诱导下载其他破解软件的对话框
2.3.3 可疑欺诈案例
基础信息

软件名	DeepSeek
包名	xbkrnzrnl.ibmo
证书MD5	03E090048C1C9117A96F06A2C3951B7F

函数名称

函数			描述
io.flutter.plugins.urllauncher.WebViewActivity			Flutter框架

相关代码
利用打包平台生成可疑仿冒DeepSeek的应用，内含收费项目，注册需要邀请码，疑似杀猪盘，如图2.6所示。该应用的包名证书也与官方的不一样，如图2.7所示。



图2.6 利用打包平台生成的假冒DeepSeek应用



图2.7 该假冒应用的包名证书与官方不一样

未来仿冒

DeepSeek的可能趋势

3.1 仿冒DeepSeek外链趋势
未来仿冒DeepSeek外链可能的趋势有以下几点：

• 欺诈手法隐蔽化：黑产将DeepSeek与博彩或者其他投资类相结合，以高回报引诱受害者参与。
  

• 传播引流方式多样化：借助于高热的黑灰产网站，例如色情或者盗版视频等网站来传播引流。
  

• 对抗加剧：随着对仿冒DeepSeek的黑灰产网站打击，黑灰产一定会想尽多种方式来躲避风控。
  

3.2 仿冒DeepSeek APP趋势
未来仿冒DeepSeek家族可能的趋势有以下几点：

• 伪装与传播多样化：借助色情网站、社交软件，伪装成合法内容传播，感染率与隐蔽性增强。
  

• 隐藏自身与逃逸检测：利用透明图标、透明窗体等技术隐藏自身，避免被用户和安全软件发现，增强持久性和隐蔽性。
  

• 滥用辅助功能权限与系统权限：恶意软件将利用系统的辅助功能，激活设备管理器进行提权，监控用户操作（点击、手势等），替换系统默认应用，获取敏感权限（如读取和发送短信），从而进一步接管受害者设备。
  

• 利用人工智能进行攻击决策：未来的木马可能会集成人工智能算法，能够根据环境和目标的不同自动选择最有效的攻击方式，提高成功率。