Атака с фишинг QR кодове на Кимсуки

Федералното бюро за разследване на САЩ издаде публично предупреждение, че спонсорирани от севернокорейската държава злонамерени лица активно използват злонамерени QR кодове в силно насочени фишинг кампании срещу организации в Съединените щати. Тези операции, наблюдавани през цялата 2025 г., представляват нарастваща промяна към „quishing“ - фишинг атаки, които разчитат на кодове за бърз отговор (QR) за доставяне на злонамерено съдържание.

Кой стои зад кампаниите?

Активността се приписва на хакерската група Kimsuky, известна в общността за сигурност като APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima. Смята се, че този клъстер е свързан със Севернокорейското разузнавателно бюро (RGB).

Кимсуки има дългогодишна репутация за сложни фишинг операции, особено такива, предназначени да заобиколят или подкопаят контрола за удостоверяване на имейли. През май 2024 г. правителството на САЩ публично съобщи, че групата е използвала слаби или неправилно конфигурирани DMARC политики, за да изпраща имейли, които убедително се представят за легитимни домейни.

Защо QR кодовете правят тези атаки толкова опасни

За разлика от традиционния фишинг, QR-базираните примамки отблъскват жертвите от корпоративно управляваните системи и ги преместват към лични или слабо защитени мобилни устройства. Тази промяна позволява на нападателите да заобиколят инструментите за корпоративна сигурност на имейлите, платформите за защита на крайните точки и контролите за мрежов мониторинг.

След сканиране, злонамерените QR кодове насочват целите към контролирана от хакера инфраструктура, където могат да бъдат събрани идентификационни данни, бисквитки за сесия или чувствителни данни, без да се задействат стандартни корпоративни предупреждения.

Сценарии за атаки, наблюдавани от ФБР през 2025 г.

ФБР съобщи за множество целенасочени кампании, проведени от актьори от „Кимсуки“ през май и юни 2025 г., включително:

• Представяне за съветник по външна политика и молба към лидер на мозъчен тръст да сканира QR код, за да получи достъп до въпросник относно събитията на Корейския полуостров
• Маскирайки се като служител на посолството, търсещ експертно мнение относно правата на човека в Северна Корея, с QR код, който твърди, че води към „защитен диск“
• Представяне за член на екипа на мозъчния тръст и изпращане на QR кодове, които пренасочват жертвите към контролирана от нападателя инфраструктура за последваща експлоатация
• Насочване към стратегическа консултантска фирма с фалшиви покани за конференции, използвайки QR кодове, водещи до измамни страници за регистрация, създадени за кражба на идентификационни данни за акаунти в Google чрез фалшиви портали за вход.

Тези инциденти последваха отделно разкритие от изследователи по сигурността, които разкриха QR кампания, управлявана от Kimsuky, разпространяваща нов вариант на зловреден софтуер за Android, „DocSwap“, чрез фишинг имейли, имитиращи базирана в Сеул логистична компания.

Как потискането на вируси (Quishing) позволява прониквания, устойчиви на MFA

Съвременните операции за скриване често водят до кражба и преиграване на токени за сесия. Чрез улавяне на активни токени за удостоверяване, нападателите могат да заобиколят изцяло многофакторното удостоверяване, като поемат контрол над облачните самоличности, без да задействат обичайните предупреждения „MFA failed“.

Оттам нататък, злонамерените лица установяват постоянство в средата на жертвата и често използват компрометираната пощенска кутия, за да стартират вторични фишинг кампании вътрешно. Тъй като първоначалната компрометация се случва на неуправлявани мобилни устройства, извън стандартното покритие на EDR и границите на мрежова проверка, quishing-ът вече се счита за високонадеждна, устойчива на MFA техника за проникване в самоличността в корпоративни среди.