Yo también tengo exactamente el mismo problema desde hace unos días en mis tiendas.
Acabo de activar la localización geográfica por IP y he dejado solo acceso a España y Portugal de forma temporal para ver sí se soluciona el problema. En estos mismos foros en otros idiomas están comentando el mismo tema y parece que el acceso del spammer no es a través del front office, si no aprovechando alguna vulnerabilidad de Prestashop a distinto nivel.
Por tanto, no estoy seguro de que funcione.