Kimsuki phishing QR-kodeangrep
Det amerikanske føderale etterforskningsbyrået (FBI) har utstedt en offentlig advarsel om at nordkoreanske statsstøttede trusselaktører aktivt bruker ondsinnede QR-koder i svært målrettede spear-phishing-kampanjer mot organisasjoner i USA. Disse operasjonene, som ble observert gjennom hele 2025, representerer et økende skifte mot «quishing» – phishing-angrep som er avhengige av Quick Response (QR)-koder for å levere ondsinnet innhold.
Innholdsfortegnelse
Hvem står bak kampanjene?
Aktiviteten tilskrives trusselgruppen Kimsuky, også kjent i sikkerhetsmiljøet som APT43, Black Banshee, Emerald Sleet, Springtail, TA427 og Velvet Chollima. Denne klyngen vurderes å være knyttet til Nord-Koreas Reconnaissance General Bureau (RGB).
Kimsuky har et langvarig rykte for sofistikerte spear-phishing-operasjoner, spesielt de som er utformet for å omgå eller undergrave kontroller for e-postautentisering. I mai 2024 rapporterte den amerikanske regjeringen offentlig at gruppen hadde utnyttet svake eller feil konfigurerte DMARC-policyer for å sende e-poster som overbevisende utga seg for å være legitime domener.
Hvorfor QR-koder gjør disse angrepene så farlige
I motsetning til tradisjonell phishing, skyver QR-baserte lokkemidler ofre bort fra bedriftsstyrte systemer og over på personlige eller lett beskyttede mobilenheter. Dette skiftet lar angripere omgå bedriftens e-postsikkerhetsverktøy, plattformer for endepunktbeskyttelse og nettverksovervåkingskontroller.
Når de ondsinnede QR-kodene er skannet, leder de mål til angriperkontrollert infrastruktur, hvor påloggingsinformasjonskapsler, øktinformasjonskapsler eller sensitive data kan samles inn uten å utløse standard bedriftsvarsler.
FBI-observerte angrepsscenarier i 2025
FBI rapporterte om flere målrettede kampanjer utført av Kimsuky-skuespillere i mai og juni 2025, inkludert:
- Å utgi seg for å være en utenrikspolitisk rådgiver og be en leder av en tenketank om å skanne en QR-kode for å få tilgang til et spørreskjema om utviklingen på den koreanske halvøya.
- Utgir seg for å være en ambassadeansatt som søker ekspertråd om nordkoreanske menneskerettigheter, med en QR-kode som hevder å lenke til en «sikker disk»
- Utga seg for å være en ansatt i en tenketank og sendte QR-koder som omdirigerte ofrene til angriperkontrollert infrastruktur for videre utnyttelse.
- Målrettet et strategisk rådgivningsfirma med falske konferanseinvitasjoner, ved bruk av QR-koder som førte til falske registreringssider laget for å stjele Google-kontoinformasjon gjennom forfalskede innloggingsportaler.
Disse hendelsene fulgte tett i kjølvannet av en separat avsløring fra sikkerhetsforskere, som avdekket en Kimsuky-drevet QR-kampanje som distribuerte en ny variant av Android-skadevare, «DocSwap», gjennom phishing-e-poster som imiterte et logistikkselskap i Seoul.
Hvordan quishing muliggjør MFA-robuste inntrenginger
Moderne quishing-operasjoner kulminerer ofte i tyveri og avspilling av økttokener. Ved å fange aktive autentiseringstokener kan angripere omgå flerfaktorautentisering fullstendig og ta over skyidentiteter uten å utløse de vanlige advarslene om «MFA mislyktes».
Derfra etablerer motstandere utholdenhet i offermiljøet og utnytter ofte den kompromitterte postkassen til å starte sekundære spear-phishing-kampanjer internt. Fordi den første kompromitteringen skjer på uadministrerte mobile enheter, utenfor standard EDR-dekning og nettverksinspeksjonsgrenser, anses quishing nå som en svært sikker, MFA-resistent identitetsinntrengingsteknikk i bedriftsmiljøer.
