Attacco di codici QR di phishing Kimsuki

L'FBI (Federal Bureau of Investigation) degli Stati Uniti ha emesso un avviso pubblico in cui si segnala che gli autori di minacce informatiche sponsorizzati dallo Stato nordcoreano stanno utilizzando attivamente codici QR dannosi in campagne di spear-phishing altamente mirate contro organizzazioni negli Stati Uniti. Queste operazioni, osservate per tutto il 2025, rappresentano un crescente passaggio al "quishing", ovvero attacchi di phishing che si basano su codici QR (Quick Response) per diffondere contenuti dannosi.

Chi c’è dietro le campagne?

L'attività è attribuita al gruppo Kimsuky, noto anche nel mondo della sicurezza come APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima. Si ritiene che questo gruppo sia collegato al Reconnaissance General Bureau (RGB) della Corea del Nord.

Kimsuky ha una reputazione consolidata per le sue sofisticate operazioni di spear-phishing, in particolare quelle progettate per eludere o indebolire i controlli di autenticazione delle email. Nel maggio 2024, il governo degli Stati Uniti ha denunciato pubblicamente che il gruppo aveva sfruttato policy DMARC deboli o configurate in modo improprio per inviare email che imitavano in modo convincente domini legittimi.

Perché i codici QR rendono questi attacchi così pericolosi

A differenza del phishing tradizionale, le esche basate su codici QR allontanano le vittime dai sistemi aziendali e le spingono a rivolgersi a dispositivi mobili personali o scarsamente protetti. Questo cambiamento consente agli aggressori di aggirare gli strumenti di sicurezza della posta elettronica aziendale, le piattaforme di protezione degli endpoint e i controlli di monitoraggio della rete.

Una volta scansionati, i codici QR dannosi indirizzano i bersagli verso infrastrutture controllate dagli aggressori, dove credenziali, cookie di sessione o dati sensibili possono essere raccolti senza attivare gli avvisi aziendali standard.

Scenari di attacco osservati dall’FBI nel 2025

L'FBI ha segnalato molteplici campagne mirate condotte dagli attori di Kimsuky nel maggio e giugno 2025, tra cui:

• Impersonare un consulente di politica estera e chiedere al leader di un think tank di scansionare un codice QR per accedere a un questionario sugli sviluppi nella penisola coreana
• Si spaccia per un dipendente dell'ambasciata in cerca di un parere esperto sui diritti umani in Corea del Nord, con un codice QR che afferma di collegarsi a un'unità sicura
• Spacciandosi per un membro dello staff di un think tank e inviando codici QR che reindirizzavano le vittime a infrastrutture controllate dagli aggressori per ulteriori sfruttamenti
• Prendere di mira una società di consulenza strategica con falsi inviti a conferenze, utilizzando codici QR che portavano a pagine di registrazione fraudolente create per rubare le credenziali dell'account Google tramite portali di accesso contraffatti

Questi incidenti sono avvenuti subito dopo una rivelazione separata da parte dei ricercatori di sicurezza, che hanno scoperto una campagna QR gestita da Kimsuky che distribuiva una nuova variante di malware Android, "DocSwap", tramite e-mail di phishing che imitavano un'azienda di logistica con sede a Seul.

Come il quishing consente intrusioni resistenti all’MFA

Le moderne operazioni di quishing culminano spesso nel furto e nella riproduzione dei token di sessione. Catturando i token di autenticazione attivi, gli aggressori possono aggirare completamente l'autenticazione a più fattori, assumendo il controllo delle identità cloud senza attivare i consueti avvisi di "MFA non riuscita".

Da lì, gli aggressori stabiliscono una persistenza nell'ambiente della vittima e spesso sfruttano la casella di posta compromessa per lanciare campagne di spear-phishing secondarie internamente. Poiché la compromissione iniziale avviene su dispositivi mobili non gestiti, al di fuori della copertura EDR standard e dei limiti di ispezione della rete, il quishing è ora considerato una tecnica di intrusione dell'identità ad alta affidabilità e resistente all'autenticazione a più fattori (MFA) negli ambienti aziendali.