Kimsuki Phishing QR-codeaanval
De Amerikaanse Federal Bureau of Investigation (FBI) heeft een openbare waarschuwing uitgegeven dat door de Noord-Koreaanse staat gesteunde cybercriminelen actief gebruikmaken van kwaadaardige QR-codes in zeer gerichte spear-phishingcampagnes tegen organisaties in de Verenigde Staten. Deze operaties, die gedurende 2025 zijn waargenomen, vertegenwoordigen een groeiende verschuiving naar 'quishing' – phishingaanvallen die gebruikmaken van QR-codes om schadelijke inhoud te verspreiden.
Inhoudsopgave
Wie zit er achter de campagnes?
De activiteiten worden toegeschreven aan de Kimsuky-dreigingsgroep, die binnen de veiligheidsgemeenschap ook bekend staat als APT43, Black Banshee, Emerald Sleet, Springtail, TA427 en Velvet Chollima. Deze groep wordt in verband gebracht met het Noord-Koreaanse Bureau voor Verkenning (RGB).
Kimsuky staat al lange tijd bekend om zijn geavanceerde spear-phishing-aanvallen, met name die gericht zijn op het omzeilen of ondermijnen van e-mailauthenticatie. In mei 2024 meldde de Amerikaanse overheid publiekelijk dat de groep misbruik had gemaakt van zwakke of onjuist geconfigureerde DMARC-regels om e-mails te versturen die op overtuigende wijze legitieme domeinen imiteerden.
Waarom QR-codes deze aanvallen zo gevaarlijk maken
In tegenstelling tot traditionele phishing, leiden QR-gebaseerde aanvallen slachtoffers weg van bedrijfssystemen naar persoonlijke of slecht beveiligde mobiele apparaten. Deze verschuiving stelt aanvallers in staat om de e-mailbeveiliging van bedrijven, endpointbeveiligingsplatforms en netwerkmonitoring te omzeilen.
Na het scannen leiden de kwaadwillige QR-codes doelwitten naar een door de aanvaller beheerde infrastructuur, waar inloggegevens, sessiecookies of gevoelige gegevens kunnen worden verzameld zonder dat standaard bedrijfswaarschuwingen worden geactiveerd.
Door de FBI waargenomen aanvalsscenario’s in 2025
De FBI meldde dat er in mei en juni 2025 meerdere gerichte campagnes werden uitgevoerd door Kimsuky-activisten, waaronder:
- Zich voordoen als een adviseur buitenlands beleid en een leider van een denktank vragen om een QR-code te scannen voor toegang tot een vragenlijst over ontwikkelingen op het Koreaanse schiereiland.
- Hij deed zich voor als een medewerker van een ambassade die deskundig advies zocht over de mensenrechtensituatie in Noord-Korea, en gebruikte een QR-code die zogenaamd naar een 'beveiligde schijf' leidde.
- Hij deed zich voor als medewerker van een denktank en verstuurde QR-codes die slachtoffers doorverwezen naar door de aanvaller beheerde infrastructuur voor verdere exploitatie.
- Een strategisch adviesbureau werd benaderd met valse uitnodigingen voor een conferentie, waarbij QR-codes werden gebruikt die leidden naar frauduleuze registratiepagina's die waren ontworpen om Google-accountgegevens te stelen via namaak-inlogportalen.
Deze incidenten volgden kort op een andere onthulling door beveiligingsonderzoekers, die een door Kimsuky geleide QR-campagne ontdekten waarmee een nieuwe Android-malwarevariant, 'DocSwap', werd verspreid via phishing-e-mails die een logistiek bedrijf uit Seoul nabootsten.
Hoe Quishing MFA-resistente inbraken mogelijk maakt
Moderne cyberaanvallen leiden vaak tot het stelen en hergebruiken van sessietokens. Door actieve authenticatietokens te bemachtigen, kunnen aanvallers multifactorauthenticatie volledig omzeilen en cloud-identiteiten overnemen zonder de gebruikelijke waarschuwingen 'MFA mislukt' te genereren.
Van daaruit vestigen aanvallers zich in de omgeving van het slachtoffer en gebruiken ze de gecompromitteerde mailbox vaak om secundaire spear-phishingcampagnes intern te lanceren. Omdat de initiële inbreuk plaatsvindt op onbeheerde mobiele apparaten, buiten de standaard EDR-dekking en netwerkinspectiegrenzen, wordt quishing nu beschouwd als een zeer betrouwbare, MFA-resistente identiteitsinbraaktechniek binnen bedrijfsomgevingen.
