هجوم رموز الاستجابة السريعة للتصيد الاحتيالي من كيمسوكي
أصدر مكتب التحقيقات الفيدرالي الأمريكي تحذيراً عاماً يفيد بأن جهات تهديد مدعومة من كوريا الشمالية تستخدم بنشاط رموز الاستجابة السريعة (QR) الخبيثة في حملات تصيد احتيالي موجهة بدقة عالية ضد منظمات في الولايات المتحدة. وتمثل هذه العمليات، التي رُصدت طوال عام 2025، تحولاً متزايداً نحو "التصيد الاحتيالي" - أي هجمات التصيد التي تعتمد على رموز الاستجابة السريعة (QR) لإيصال محتوى خبيث.
جدول المحتويات
من يقف وراء هذه الحملات؟
يُعزى هذا النشاط إلى مجموعة كيمسوكي، المعروفة أيضاً في أوساط الأمن السيبراني بأسماء APT43، وبلاك بانشي، وإميرالد سليت، وسبرينغتايل، وTA427، وفيلفيت تشوليما. ويُعتقد أن هذه المجموعة مرتبطة بمكتب الاستطلاع العام في كوريا الشمالية.
تتمتع مجموعة كيمسوكي بسمعة راسخة في عمليات التصيد الاحتيالي المتقنة، لا سيما تلك المصممة للتحايل على ضوابط التحقق من البريد الإلكتروني أو تقويضها. في مايو 2024، أعلنت الحكومة الأمريكية علنًا أن المجموعة استغلت سياسات DMARC الضعيفة أو غير المُهيأة بشكل صحيح لإرسال رسائل بريد إلكتروني تنتحل صفة نطاقات شرعية بشكل مقنع.
لماذا تجعل رموز الاستجابة السريعة هذه الهجمات خطيرة للغاية
على عكس عمليات التصيد الاحتيالي التقليدية، تدفع عمليات الخداع القائمة على رموز الاستجابة السريعة (QR) الضحايا بعيدًا عن الأنظمة التي تديرها الشركات، نحو استخدام الأجهزة الشخصية أو الأجهزة المحمولة ذات الحماية المحدودة. يتيح هذا التحول للمهاجمين تجاوز أدوات أمان البريد الإلكتروني الخاصة بالشركات، ومنصات حماية نقاط النهاية، وضوابط مراقبة الشبكة.
بمجرد مسحها ضوئيًا، توجه رموز الاستجابة السريعة الخبيثة الأهداف إلى البنية التحتية التي يتحكم بها المهاجم، حيث يمكن جمع بيانات الاعتماد أو ملفات تعريف الارتباط الخاصة بالجلسة أو البيانات الحساسة دون إثارة تنبيهات المؤسسة القياسية.
سيناريوهات الهجمات التي رصدها مكتب التحقيقات الفيدرالي في عام 2025
أفاد مكتب التحقيقات الفيدرالي (FBI) عن حملات استهداف متعددة نفذها فاعلون من شركة كيمسوكي في شهري مايو ويونيو 2025، بما في ذلك:
- انتحال صفة مستشار في السياسة الخارجية ومطالبة رئيس مركز أبحاث بمسح رمز الاستجابة السريعة للوصول إلى استبيان حول التطورات في شبه الجزيرة الكورية
- انتحل صفة موظف في السفارة يسعى للحصول على رأي خبير بشأن حقوق الإنسان في كوريا الشمالية، مع رمز الاستجابة السريعة الذي يدعي أنه يؤدي إلى "محرك أقراص آمن".
- انتحال صفة أحد موظفي مركز أبحاث وإرسال رموز QR التي أعادت توجيه الضحايا إلى بنية تحتية يتحكم بها المهاجم لاستغلالها لاحقًا
- استهداف شركة استشارات استراتيجية بدعوات مؤتمرات مزيفة، باستخدام رموز QR التي تؤدي إلى صفحات تسجيل احتيالية مصممة لسرقة بيانات اعتماد حساب جوجل من خلال بوابات تسجيل دخول مزيفة.
وجاءت هذه الحوادث في أعقاب كشف منفصل من قبل باحثي الأمن، الذين كشفوا عن حملة رموز QR تديرها شركة Kimsuky لتوزيع نوع جديد من البرامج الضارة لنظام Android، يُدعى "DocSwap"، من خلال رسائل بريد إلكتروني للتصيد الاحتيالي تحاكي شركة لوجستية مقرها سيول.
كيف يُمكّن الإيقاف من عمليات الاختراق المقاومة لأنظمة المصادقة متعددة العوامل؟
غالباً ما تنتهي عمليات الاختراق الحديثة بسرقة رموز الجلسة وإعادة استخدامها. فمن خلال الاستيلاء على رموز المصادقة النشطة، يستطيع المهاجمون تجاوز المصادقة متعددة العوامل تماماً، والسيطرة على هويات المستخدمين السحابية دون ظهور تحذيرات "فشل المصادقة متعددة العوامل" المعتادة.
ومن ثم، يُرسّخ المهاجمون وجودهم داخل بيئة الضحية، وغالبًا ما يستغلون صندوق البريد المخترق لشنّ حملات تصيّد احتيالي ثانوية داخلية. ولأن الاختراق الأولي يحدث على أجهزة محمولة غير مُدارة، خارج نطاق تغطية نظام الكشف والاستجابة لنقاط النهاية (EDR) وحدود فحص الشبكة، يُعتبر التصيّد الاحتيالي الآن أسلوبًا عالي الموثوقية لاختراق الهوية ومقاومًا لأنظمة المصادقة متعددة العوامل (MFA) في بيئات المؤسسات.
