剛剛過去的春節，DeepSeek一經發布即成為全球熱議的現象級產品，引發了全球資本市場、科技從業者、政策制定者和普通用戶的關注，并掀起安裝與使用的熱潮。

性能媲美ChatGPT、谷歌Gemini、LLaMA等大模型性能、模型訓練成本預估只有不到600萬美元、技術團隊規模僅百余人……這些前所未有的成績，不僅推動DeepSeek成為全球最受矚目的AI大模型產品，也引起了黑灰產的覬覦。

一方面，冒用“DeepSeek”名稱相關的惡意網址、App、木馬等行為正在泛濫，另一方面，黑灰產也嗅到了“商機”，紛紛下場借助熱度實施不法行為。為此，騰訊安全團隊從外鏈和APP應用兩個維度對其進行了深度分析。

   ●   疑似仿冒DeepSeek的域名爆炸式增長，春節前后累計觀察到疑似仿冒DeepSeek的網站超過20000個。

   ●    1月31日新增疑似仿冒DeepSeek站點約3000個。

   ●    監測到大量仿冒站點，通過社交平臺引流C端用戶，指向虛擬幣平臺和色情網站。

   ●    監測到部分黑灰產，通過偽造提供DeepSeek本地部署和提供行業解決方案，對企業實施釣魚攻擊。

   ●   黑灰產仿冒DeepSeek植入木馬，可能會進一步應用AI算法提高攻擊成功率。

1.外鏈維度

1.1 每日活躍的站點數量增長趨勢分析

1月26日開始傳播量級已經初具規模，從1月31日開始，傳播量級提速，當天新增疑似仿冒DeepSeek站點約3000個，2月7日后增速有所放緩，如圖1.1所示。

圖1.1 每日活躍的疑似仿冒DeepSeek站點數量分布圖

1.2 疑似仿冒DeepSeek網站分析

1.2.1 虛擬幣相關

如圖1.2所示，在發現疑似仿冒DeepSeek站點快速增長時，我們利用網址關系鏈技術發現，這些疑似仿冒站點與一些境外常見的虛擬幣交易平臺有著十分密切的聯系，因此猜測出現了打著DeepSeek旗號建立的新型虛擬幣，如圖1.3所示。

圖1.2 與虛擬幣交易平臺有著密切關系的疑似仿冒DeepSeek站點

圖1.3 打著DeepSeek旗號建立的虛擬幣網站

同時我們還發現，與虛擬幣交易平臺有密切關系的仿冒DeepSeek站點，與常見的社交平臺也有著十分密切的關系，這是因為新建的虛擬幣需要借助社交平臺來引流，如圖1.4所示。

圖1.4 借助境外常用社交平臺來引流

此外，通過進一步分析，我們發現打著DeepSeek旗號建立的新型虛擬幣呈現明顯的團伙性質，首先這幾個網站都利用halo快速建站構建，背后為同一團伙開發設計，并且具有明顯IP聚集效應，如圖1.5所示。

圖1.5 打著DeepSeek旗號建立虛擬幣團伙

1.2.2 色情導流相關

此外，如圖1.6所示，通過網址關系鏈，我們還發現除了虛擬幣之外，還有一些疑似仿冒DeepSeek站點與色情網站關系比較密切，如圖1.7和1.8所示。

圖1.6 仿冒DeepSeek網站導流到色情網站

圖1.7 訪問后直接跳轉色情網站并誘導下載假冒的短視頻APP，實際為色情APP

圖1.8 一些網站中的廣告可以隨機跳轉到色情網站或者虛擬幣交易網站

1.2.3 可疑釣魚網站 

目前主要發現有兩種可疑釣魚網站，有聲稱可以幫助用戶提供DeepSeek本地部署和提供行業解決方案的，如圖1.9所示，也有以金融公司名義吸引線上會議的，如圖1.10所示。

圖1.9 可疑釣魚網站1

圖1.10 可疑釣魚網站2

1.3 域名注冊情況分析

1.3.1 域名注冊時間分布

從域名注冊時間來看，大部分域名都集中在最近半個月內注冊，占比達到84.2%，如圖1.11所示。

圖1.11 疑似仿冒DeepSeek域名注冊時間分布

1.3.2 域名注冊服務商分布

從域名注冊服務商來看，Top10的域名注冊商占了總域名注冊數量的79.8%，頭部幾個域名注冊商占比相對集中，前五名分別為24.3%、11.6%、11.0%、9.3%、8.4%，如圖1.12所示。

圖1.12 疑似仿冒DeepSeek域名注冊服務商分布

1.3.3 域名解析地理位置分布

從域名解析的IP地理位置來看，有53.8%位于北美洲，亞洲占比達到35.0%，其余主要分布在歐洲。如圖1.13所示。

圖1.13疑似仿冒DeepSeek域名解析IP位置分布

2.APP維度

2.1 最新動態總結

主要從仿冒DeepSeek家族的流行攻擊技術研究和流行木馬案例進行研究，通過對Top10的可疑木馬樣本進行分析，得出以下結論：

   ●   對DeepSeek進行重打包并植入惡意代碼，致使用戶在不知情下運行篡改程序時，彈出誘導窗口，誘導其下載來源不明且可能攜帶病毒、木馬等惡意程序的破解軟件。

   ●   用戶在不知情的情況下運行仿冒DeepSeek程序，會出現誘導加入特定某即時通信軟件群聊的彈窗。一旦加入，用戶易陷入詐騙團伙圈套，面臨信息泄露、網絡詐騙及設備被惡意控制等風險。

   ●   利用打包平臺生成假冒DeepSeek，用戶注冊需填特定邀請碼方可進入。應用內置多項誘導性充值項目，具有“殺豬盤”式可疑詐騙特征，且強制用戶設置交易密碼以完成“資金操作”。

2.2 仿冒影響情況

2.2.1仿冒DeepSeek家族分布

如圖2.1所示，仿冒DeepSeek家族中可疑欺詐類占比52%，可疑仿冒和可疑風險類占比均為17%，可疑銀行木馬類占比14%。

圖2.1 仿冒DeepSeek惡意應用家族分布

2.2.2 仿冒DeepSeek家族Top10應用列表

如表2.1所示，仿冒DeepSeek家族Top10應用存在多種對抗手段，包括仿冒包名、包名隨機化和仿冒圖標等，這使得用戶難以分辨真偽。

表2.1 仿冒DeepSeek家族Top10應用列表

2.3 仿冒具體案例分析

2.3.1 可疑誘導引流案例

基礎信息

函數名稱

相關代碼

該案例重新打包后植入惡意代碼，運行后彈窗誘導加群，如圖2.2所示，誘導加群代碼如圖2.3所示。

圖2.2 DeepSeek重打包后植入惡意代碼，通過某即時通信軟件誘導加群

圖2.3 運行后用android.app.Dialog.show彈出誘導加群的對話框

2.3.2 可疑仿冒案例

基礎信息

函數名稱

相關代碼

該案例重新打包后植入惡意代碼，運行后彈窗誘導下載其他破解軟件，如圖2.4所示，誘導代碼如圖2.5所示。

圖2.4 DeepSeek重打包后植入惡意代碼誘導下載破解軟件

圖2.5 運行后用android.app.Dialog.show彈出誘導下載其他破解軟件的對話框

2.3.3 可疑欺詐案例

基礎信息

函數名稱

相關代碼

利用打包平臺生成可疑仿冒DeepSeek的應用，內含收費項目，注冊需要邀請碼，疑似殺豬盤，如圖2.6所示。該應用的包名證書也與官方的不一樣，如圖2.7所示。

圖2.6 利用打包平臺生成的假冒DeepSeek應用

圖2.7 該假冒應用的包名證書與官方不一樣

3.未來仿冒DeepSeek的可能趨勢

3.1 仿冒DeepSeek外鏈趨勢

未來仿冒DeepSeek外鏈可能的趨勢有以下幾點：

   ●   欺詐手法隱蔽化：黑產將DeepSeek與博彩或者其他投資類相結合，以高回報引誘受害者參與。

   ●   傳播引流方式多樣化：借助于高熱的黑灰產網站，例如色情或者盜版視頻等網站來傳播引流。

   ●   對抗加劇：隨著對仿冒DeepSeek的黑灰產網站打擊，黑灰產一定會想盡多種方式來躲避風控。

3.2 仿冒DeepSeek APP趨勢

未來仿冒DeepSeek家族可能的趨勢有以下幾點：

   ●   偽裝與傳播多樣化：借助色情網站、社交軟件，偽裝成合法內容傳播，感染率與隱蔽性增強。

   ●   隱藏自身與逃逸檢測：利用透明圖標、透明窗體等技術隱藏自身，避免被用戶和安全軟件發現，增強持久性和隱蔽性。

   ●   濫用輔助功能權限與系統權限：惡意軟件將利用系統的輔助功能，激活設備管理器進行提權，監控用戶操作（點擊、手勢等），替換系統默認應用，獲取敏感權限（如讀取和發送短信），從而進一步接管受害者設備。

   ●   利用人工智能進行攻擊決策：未來的木馬可能會集成人工智能算法，能夠根據環境和目標的不同自動選擇最有效的攻擊方式，提高成功率。

4.溫馨提示

當前，騰訊安全團隊已在騰訊系產品上對其中發現的涉詐、涉黃、釣魚等多種風險的外鏈和APP進行了處理，但是黑產的作惡手段和方法一直處于快速的變化中。建議所有用戶（包括個人用戶和企業用戶）訪問和下載DeepSeek應用時，一定要通過DeepSeek官方網站或者在知名應用商店里操作，對不明鏈接和應用提高警惕，仔細辨識，防止上當受騙。