Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Atac de codis QR de phishing de Kimsuki

Atac de codis QR de phishing de Kimsuki

El Mezo el Phishing, Amenaça persistent avançada (APT)
Traduir a:

L'Oficina Federal d'Investigació dels Estats Units ha emès un avís públic que els actors de pirateria patrocinats per l'estat nord-coreà estan utilitzant activament codis QR maliciosos en campanyes de spear phishing altament dirigides contra organitzacions dels Estats Units. Aquestes operacions, observades al llarg del 2025, representen un canvi creixent cap al "quishing", és a dir, atacs de phishing que es basen en codis de resposta ràpida (QR) per lliurar contingut maliciós.

Qui hi ha darrere de les campanyes?

L'activitat s'atribueix al grup d'amenaces Kimsuky, també conegut a la comunitat de seguretat com a APT43, Black Banshee, Emerald Sleet, Springtail, TA427 i Velvet Chollima. S'avalua que aquest clúster està vinculat a l'Oficina General de Reconeixement (RGB) de Corea del Nord.

Kimsuky té una llarga reputació per les seves sofisticades operacions de spear-phishing, especialment les dissenyades per evadir o soscavar els controls d'autenticació del correu electrònic. El maig de 2024, el govern dels Estats Units va informar públicament que el grup havia explotat polítiques DMARC febles o configurades incorrectament per enviar correus electrònics que suplantaven de manera convincent dominis legítims.

Per què els codis QR fan que aquests atacs siguin tan perillosos

A diferència del phishing tradicional, els esquers basats en codis QR allunyen les víctimes dels sistemes gestionats per l'empresa i les posen a disposició de dispositius mòbils personals o poc protegits. Aquest canvi permet als atacants eludir les eines de seguretat del correu electrònic empresarial, les plataformes de protecció de punts finals i els controls de monitorització de xarxa.

Un cop escanejats, els codis QR maliciosos dirigeixen els objectius a una infraestructura controlada per l'atacant, on es poden recopilar credencials, galetes de sessió o dades sensibles sense activar alertes empresarials estàndard.

Escenaris d’atac observats per l’FBI el 2025

L'FBI va informar de múltiples campanyes dirigides a actors de Kimsuky durant el maig i el juny de 2025, incloent-hi:

  • Fer-se passar per un assessor de política exterior i demanar a un líder de think tank que escanegi un codi QR per accedir a un qüestionari sobre els esdeveniments a la península de Corea
  • Es fa passar per un empleat de l'ambaixada que busca l'opinió d'un expert sobre els drets humans de Corea del Nord, amb un codi QR que pretén enllaçar a una "unitat segura"
  • Fer-se passar per membre del personal d'un grup de reflexió i enviar codis QR que redirigien les víctimes a una infraestructura controlada per l'atacant per a la seva posterior explotació.
  • Atacant una empresa de consultoria estratègica amb invitacions falses a conferències, utilitzant codis QR que conduïen a pàgines de registre fraudulentes creades per robar credencials de comptes de Google a través de portals d'inici de sessió falsificats.

Aquests incidents van seguir de prop una altra revelació per part d'investigadors de seguretat, que van descobrir una campanya de codis QR dirigida per Kimsuky que distribuïa una nova variant de programari maliciós per a Android, "DocSwap", a través de correus electrònics de phishing que imitaven una empresa de logística amb seu a Seül.

Com el Quishing permet intrusions resistents a MFA

Les operacions modernes de quishing sovint culminen en el robatori i la reproducció de tokens de sessió. En capturar tokens d'autenticació actius, els atacants poden eludir completament l'autenticació multifactor, prenent el control de les identitats al núvol sense activar els avisos habituals d'"MFA fallit".

A partir d'aquí, els adversaris estableixen persistència dins de l'entorn de la víctima i sovint aprofiten la bústia compromesa per llançar campanyes secundàries de spear phishing internament. Com que el compromís inicial es produeix en dispositius mòbils no gestionats, fora de la cobertura EDR estàndard i els límits d'inspecció de xarxa, el quishing ara es considera una tècnica d'intrusió d'identitat d'alta confiança i resistent a l'MFA dins dels entorns empresarials.

Tendència

Més vist

Carregant...