Os arquivos .htaccess informam ao servidor qual resposta específica deve ser enviada para esses bots. Portanto, a solicitação ainda está acontecendo e você ainda está enviando dados de volta (a mensagem 403).
Você não tem como evitar que a solicitação da botnet chegue até você, somente o seu provedor pode bloqueá-la antes que ela chegue ao seu servidor. No entanto, você não pode enviar nada de volta simplesmente fechando a conexão para este IP. Não tenho certeza se o Apache tem um módulo para fazer isso, caso contrário, você pode usar um firewall de software como o iptables para fazer isso.