Kimsuki phishing QR-kodeangreb
Det amerikanske efterforskningsbureau (FBI) har udsendt en offentlig advarsel om, at nordkoreanske statsstøttede trusselsaktører aktivt bruger ondsindede QR-koder i målrettede spear-phishing-kampagner mod organisationer i USA. Disse operationer, der er observeret i løbet af 2025, repræsenterer et voksende skift mod 'quishing' – phishing-angreb, der er afhængige af Quick Response (QR)-koder til at levere ondsindet indhold.
Indholdsfortegnelse
Hvem står bag kampagnerne?
Aktiviteten tilskrives trusselsgruppen Kimsuky, også kendt i sikkerhedsmiljøet som APT43, Black Banshee, Emerald Sleet, Springtail, TA427 og Velvet Chollima. Denne klynge vurderes at være forbundet med Nordkoreas Reconnaissance General Bureau (RGB).
Kimsuky har et langvarigt ry for sofistikerede spear-phishing-operationer, især dem, der er designet til at omgå eller underminere e-mail-godkendelseskontroller. I maj 2024 rapporterede den amerikanske regering offentligt, at gruppen havde udnyttet svage eller forkert konfigurerede DMARC-politikker til at sende e-mails, der overbevisende efterlignede legitime domæner.
Hvorfor QR-koder gør disse angreb så farlige
I modsætning til traditionel phishing skubber QR-baserede lokkemidler ofre væk fra virksomhedsadministrerede systemer og over på personlige eller let beskyttede mobile enheder. Dette skift giver angribere mulighed for at omgå virksomhedens e-mailsikkerhedsværktøjer, platforme til endpointbeskyttelse og netværksovervågningskontroller.
Når de ondsindede QR-koder er scannet, leder de mål til en angriberkontrolleret infrastruktur, hvor legitimationsoplysninger, sessionscookies eller følsomme data kan indsamles uden at udløse standard virksomhedsalarmer.
FBI-observerede angrebsscenarier i 2025
FBI rapporterede om flere målrettede kampagner udført af Kimsuky-aktører i maj og juni 2025, herunder:
- At udgive sig for at være en udenrigspolitisk rådgiver og bede en leder af en tænketank om at scanne en QR-kode for at få adgang til et spørgeskema om udviklingen på den koreanske halvø.
- Maskeret som ambassademedarbejder, der søger ekspertråd om nordkoreanske menneskerettigheder, med en QR-kode, der hævder at linke til et 'sikkert drev'
- Udgav sig for at være medlem af en tænketank og sendte QR-koder, der omdirigerede ofrene til angriberkontrolleret infrastruktur med henblik på efterfølgende udnyttelse.
- Falske konferenceinvitationer blev målrettet mod et strategisk rådgivningsfirma ved hjælp af QR-koder, der førte til falske registreringssider, der var bygget til at stjæle Google-kontooplysninger via forfalskede loginportaler.
Disse hændelser fulgte tæt i kølvandet på en separat afsløring foretaget af sikkerhedsforskere, der afslørede en Kimsuky-drevet QR-kampagne, der distribuerede en ny Android-malwarevariant, 'DocSwap', via phishing-e-mails, der imiterede et logistikfirma med base i Seoul.
Hvordan quishing muliggør MFA-robuste indtrængen
Moderne quishing-operationer kulminerer ofte i tyveri og afspilning af sessionstokens. Ved at indfange aktive godkendelsestokens kan angribere omgå multifaktorgodkendelse fuldstændigt og overtage cloudidentiteter uden at udløse de sædvanlige 'MFA mislykkedes'-advarsler.
Derfra etablerer modstandere persistens i offermiljøet og udnytter ofte den kompromitterede postkasse til at starte sekundære spear-phishing-kampagner internt. Fordi den indledende kompromittering sker på ikke-administrerede mobile enheder, uden for standard EDR-dækning og netværksinspektionsgrænser, betragtes quishing nu som en meget sikker, MFA-resistent identitetsindtrængningsteknik i virksomhedsmiljøer.
