Les cyberattaques visant la start-up chinoise DeepSeek se sont soudainement intensifiées jeudi matin, les commandes d’attaque ayant été multipliées par plus de 100 par rapport à la précédente vague d’attaques de mardi, a appris jeudi le Global Times de la société chinoise de cybersécurité XLab. 

Le laboratoire a déclaré avoir observé au moins deux botnets participant aux attaques de jeudi, lançant deux vagues d’assauts. 

DeepSeek a été soumis à des attaques DDoS à grande échelle et soutenues depuis le 3 ou le 4 janvier, selon XLab.

« Au début, les attaques étaient des attaques d’amplification de réflexion SSDP et NTP. Mardi, un grand nombre d’attaques proxy HTTP ont été ajoutées. Puis tôt ce matin, des botnets ont été observés comme ayant rejoint la mêlée. Cela signifie que les attaques contre DeepSeek se sont intensifiées, avec une variété croissante de méthodes, rendant la défense de plus en plus difficile et les défis de sécurité auxquels DeepSeek est confronté plus graves », a déclaré un expert en sécurité de XLab au Global Times sous couvert d’anonymat. 

Après près d’un mois de surveillance continue de DeepSeek, XLab a déclaré au Global Times avoir découvert que les attaques sur DeepSeek ont ​​progressivement évolué : des attaques d’amplification faciles à atténuer au début, aux attaques proxy HTTP (attaques de la couche applicative, contre lesquelles il est plus difficile de se défendre) mardi et maintenant aux attaques principalement basées sur des botnets. Les attaquants utilisent de multiples techniques et méthodes pour cibler DeepSeek, a déclaré XLab. 

Selon un rapport que XLab a envoyé au Global Times, aux premières heures de jeudi, le laboratoire a observé deux botnets variantes de Mirai, HailBot et RapperBot, participant aux attaques. Ces attaques, divisées en deux vagues distinctes à 1 heure du matin et 2 heures du matin, impliquaient 118 ports C2 sur 16 serveurs C2.

« L’implication de botnets indique que des attaquants professionnels sont entrés », a déclaré l’expert de XLab.

Selon XLab, les botnets sont des réseaux d’appareils infectés et contrôlés par des attaquants via des logiciels malveillants, connus sous le nom de « zombies » ou « bots ». Les attaquants utilisent des serveurs de commande et de contrôle (C&C) pour envoyer des commandes à ces appareils, exécutant diverses tâches telles que le lancement simultané d’attaques DDoS sur les serveurs ciblés. L’ampleur et l’intensité des attaques continueront d’augmenter, épuisant la bande passante réseau et les ressources système des serveurs ciblés, les rendant incapables de répondre aux opérations commerciales normales, ce qui entraînera finalement une paralysie ou une interruption de service.

Les deux botnets utilisés dans cette attaque, HailBot et RapperBot, sont deux botnets actifs depuis longtemps qui fournissent des services DDoS professionnels pour attaquer des cibles mondiales.

RapperBot attaque en moyenne plus de 100 cibles par jour, avec des volumes de commandes de pointe de plusieurs milliers. Ses cibles sont réparties au Brésil, en Biélorussie, en Russie, en Chine, en Suède et dans d’autres régions.

Les attaques de HailBot sont plus stables que celles de RapperBot, avec une moyenne de milliers de commandes d’attaque quotidiennes ciblant plus de 100 cibles réparties en Chine continentale, aux États-Unis, au Royaume-Uni, dans la région chinoise de Hong Kong, en Allemagne et dans d’autres régions, selon XLab. 

XLab a constaté que ces deux botnets « prennent fréquemment des ordres », correspondant au profil typique des « tueurs à gages professionnels ». Le laboratoire estime que même si les attaques de botnet sont une méthode ancienne, elles restent efficaces. « De toute évidence, dans la vague d’attaques de ce matin, les pirates ont acquis des services d’attaque de botnet professionnels », a déclaré l’expert de XLab. 

DeepSeek a attiré l’attention après avoir publié le dernier modèle open source DeepSeek-R1 début janvier. Le modèle a réalisé une avancée technologique importante : il utilise des méthodes d’apprentissage profond pures pour permettre à l’IA d’émerger spontanément avec des capacités de raisonnement. 

Mardi, à la veille du Nouvel An chinois, la société a lancé un nouveau modèle multimodal open source Janus-Pro, une version améliorée de son modèle Janus précédent, qui améliore considérablement la compréhension multimodale et les capacités de génération visuelle et surpasserait OpenAI dans les tests de référence.

Les attaques des derniers mois ont affecté l’enregistrement et les services de DeepSeek. DeepSeek aurait publié une annonce mardi indiquant que ses services en ligne avaient récemment été soumis à des attaques malveillantes à grande échelle.

Pour assurer la continuité du service, la société avait temporairement restreint les méthodes d’enregistrement autres que celles avec des numéros de téléphone mobile +86. 

Les attaques de mardi contre DeepSeek ont ​​également suscité des inquiétudes mondiales concernant la sécurité des services d’IA.

« L’attaque, qui a forcé DeepSeek à désactiver les inscriptions de nouveaux utilisateurs, est considérée comme une attaque par déni de service distribué ciblant son API et sa plateforme de chat Web. Bien que les utilisateurs existants puissent toujours accéder à la plateforme, cet incident soulève des questions plus larges sur la sécurité des plateformes pilotées par l’IA et les risques potentiels qu’elles représentent pour les consommateurs », peut-on lire dans un rapport Forbes publié mardi.  

Global Times