อาชญากรไซเบอร์ได้สร้างตัวติดตั้ง (installer) ปลอมของ DeepSeek-R1 โมเดล AI ของ DeepSeek ที่มีมัลแวร์ชนิดใหม่ที่ใช้ชื่อว่า BrowserVenom ฝังอยู่
มัลแวร์ตัวนี้มีความสามารถในการเปลี่ยนทางทราฟฟิกของเว็บเบราว์เซอร์ทุกตัวในอุปกรณ์เหยื่อไปยังเซิร์ฟเวอร์ที่แฮกเกอร์เป็นผู้ควบคุม เพื่อให้แฮกเกอร์สามารถขโมยข้อมูล ดูการใช้งาน เปิดเผยทราฟฟิกในรูปแบบข้อความธรรมดา (plaintext) ล้วงข้อมูลล็อกอินเว็บไซต์ คุกกี้ ข้อมูลบัญชีการเงิน อีเมล และเอกสารต่าง ๆ
จนถึงปัจจุบัน BrowserVenom เจาะเข้าไปยังคอมพิวเตอร์ในบราซิล คิวบา เม็กซิโก อินเดีย เนปาล แอฟริกาใต้ และอียิปต์ โดย Kaspersky พบว่ามีการปล่อย BrowserVenom ด้วยกาส่งเว็บไซต์ปลอมไปยังเหยื่อที่มีหน้าตาเหมือนกับหน้าโฮมเพจ DeepSeek ของจริง
URL ที่แฮกเกอร์กลุ่มนี้ใช้ในการหลอกลวงก็คือ deepseek-platform.com โดยเมื่อเปิดเข้าไปแล้วจะมีปุ่มเชิญชวนให้ดาวน์โหลด เพื่อกดเข้าไปแล้วจะมีหน้าจอ CAPTCHA ในเว็บไซต์ยังมี JavaScript ที่แอบตรวจดูว่าผู้ที่หลงเข้ามาเป็นบอตหรือไม่ เมื่อกดไปแล้วจะเป็นการดาวน์โหลดไฟล์ที่แฝงมัลแวร์เอาไว้
แฮกเกอร์ยังได้ซื้อโฆษณาบน Google เพื่อโปรโมต URL นี้ด้วย ทำให้ตัวเว็บไซต์ขึ้นไปอยู่ด้านบนสุดของผลการค้นหาของคำว่า “deepseek r1” เวลาเหยื่อใช้ Google ในการค้นหา
อย่างไรก็ดี Google ออกมาเปิดเผยว่าได้ลบโฆษณาดังกล่าวไปแล้วตั้งแต่ก่อการเผยแพร่รายงานฉบับนี้ อีกทั้งยังมีการตรวจพบมัลแวร์และระงับบัญชีผู้ใช้ของแฮกเกอร์ไปแล้วด้วย