Обычно они обслуживаются отдельной инфраструктурой, даже если они совместно используют домен. В этом случае, пока вы не отправляете достаточно трафика, чтобы перебить балансировщики нагрузки, будет сложно испортить фактические конечные точки API.
Тем не менее, да, вы можете вызвать DDoS, запрашивая статические ресурсы. Вы даже можете сделать это ниже уровня приложения, выполнив такие вещи, как заполнение цели поддельным, поддельным UDP-трафиком. Фактически это обычный способ, с помощью которого такие атаки проявляются, поскольку существуют способы усиления этого трафика с помощью незащищенных сторонних серверов, и это гораздо сложнее сделать с HTTP-запросами.
Все, что может сделать публика, которая вообще использует любые ресурсы, может быть масштабировано в DDoS. Вопрос только в том, сможет ли цель выдержать или смягчить атаку.