Atak phishingowy za pomocą kodów QR Kimsuki

Amerykańskie Federalne Biuro Śledcze (FBI) wydało publiczne ostrzeżenie, że północnokoreańscy cyberprzestępcy, sponsorowani przez państwo, aktywnie wykorzystują złośliwe kody QR w wysoce ukierunkowanych kampaniach spear phishingu wymierzonych w organizacje w Stanach Zjednoczonych. Operacje te, obserwowane przez cały 2025 rok, reprezentują rosnący trend w kierunku „quishingu” – ataków phishingowych, które wykorzystują kody QR do dostarczania złośliwych treści.

Kto stoi za kampaniami?

Aktywność ta jest przypisywana grupie zagrożeń Kimsuky, znanej w środowisku bezpieczeństwa również jako APT43, Black Banshee, Emerald Sleet, Springtail, TA427 i Velvet Chollima. Ocenia się, że klaster ten jest powiązany z północnokoreańskim Biurem Rozpoznania Ogólnego (RGB).

Kimsuky od dawna słynie z wyrafinowanych operacji spear phishingu, w szczególności tych mających na celu obejście lub podważenie mechanizmów uwierzytelniania poczty e-mail. W maju 2024 roku rząd USA publicznie poinformował, że grupa wykorzystywała słabe lub nieprawidłowo skonfigurowane zasady DMARC do wysyłania wiadomości e-mail, które przekonująco podszywały się pod legalne domeny.

Dlaczego kody QR sprawiają, że te ataki są tak niebezpieczne

W przeciwieństwie do tradycyjnego phishingu, przynęty oparte na kodach QR odciągają ofiary od systemów zarządzanych przez korporacje i przenoszą je na osobiste lub słabo zabezpieczone urządzenia mobilne. Ta zmiana pozwala atakującym ominąć korporacyjne narzędzia do ochrony poczty e-mail, platformy ochrony punktów końcowych i mechanizmy monitorowania sieci.

Po zeskanowaniu złośliwe kody QR kierują ofiary do infrastruktury kontrolowanej przez atakujących, gdzie dane uwierzytelniające, pliki cookie sesji lub poufne dane mogą zostać zebrane bez wywoływania standardowych alertów przedsiębiorstwa.

Scenariusze ataków obserwowane przez FBI w 2025 r.

FBI poinformowało o wielu ukierunkowanych kampaniach przeprowadzonych przez aktorów Kimsuky w maju i czerwcu 2025 r., w tym:

• Podszywanie się pod doradcę ds. polityki zagranicznej i proszenie lidera think tanku o zeskanowanie kodu QR w celu uzyskania dostępu do kwestionariusza dotyczącego wydarzeń na Półwyspie Koreańskim
• Podszywając się pod pracownika ambasady i prosząc o opinię ekspertów na temat praw człowieka w Korei Północnej, posługuje się kodem QR, który rzekomo prowadzi do „bezpiecznego dysku”
• Podawanie się za pracownika ośrodka analitycznego i wysyłanie kodów QR przekierowujących ofiary do infrastruktury kontrolowanej przez atakującego w celu dalszej eksploatacji
• Atak na firmę doradztwa strategicznego za pomocą fałszywych zaproszeń na konferencję, z wykorzystaniem kodów QR, które prowadziły do fałszywych stron rejestracyjnych, stworzonych w celu kradzieży danych logowania do konta Google za pośrednictwem fałszywych portali logowania

Do incydentów tych doszło tuż po odrębnym ujawnieniu informacji przez badaczy ds. bezpieczeństwa, którzy odkryli kampanię QR prowadzoną przez firmę Kimsuky, mającą na celu dystrybucję nowej odmiany złośliwego oprogramowania na system Android o nazwie „DocSwap” za pośrednictwem wiadomości e-mail phishingowych podszywających się pod firmę logistyczną z siedzibą w Seulu.

Jak Quishing umożliwia ochronę przed włamaniami MFA

Nowoczesne operacje quishingu często kończą się kradzieżą tokenów sesji i ich powtórzeniem. Przechwytując aktywne tokeny uwierzytelniające, atakujący mogą całkowicie ominąć uwierzytelnianie wieloskładnikowe i przejąć kontrolę nad tożsamościami w chmurze bez wywoływania typowych ostrzeżeń o błędzie MFA.

Stamtąd atakujący utrwalają swoją obecność w środowisku ofiary i często wykorzystują przejętą skrzynkę pocztową do przeprowadzania wewnętrznych, wtórnych kampanii spear phishingowych. Ponieważ początkowe naruszenie bezpieczeństwa ma miejsce na niezarządzanych urządzeniach mobilnych, poza standardowym zasięgiem EDR i granicami inspekcji sieci, quishing jest obecnie uważany za wysoce niezawodną, odporną na uwierzytelnianie wieloskładnikowe technikę włamań do tożsamości w środowiskach korporacyjnych.