Ataque de phishing com códigos QR da Kimsuki
O FBI (Departamento Federal de Investigação dos EUA) emitiu um alerta público avisando que agentes maliciosos patrocinados pelo Estado norte-coreano estão utilizando ativamente códigos QR maliciosos em campanhas de spear-phishing altamente direcionadas contra organizações nos Estados Unidos. Essas operações, observadas ao longo de 2025, representam uma crescente tendência ao "quishing" — ataques de phishing que utilizam códigos de Resposta Rápida (QR) para distribuir conteúdo malicioso.
Índice
Quem está por trás das campanhas?
A atividade é atribuída ao grupo de ameaças Kimsuky, também conhecido na comunidade de segurança como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima. Acredita-se que esse grupo esteja ligado ao Departamento Geral de Reconhecimento (RGB) da Coreia do Norte.
O grupo Kimsuky possui uma longa reputação por sofisticadas operações de spear-phishing, particularmente aquelas projetadas para burlar ou minar os controles de autenticação de e-mail. Em maio de 2024, o governo dos EUA relatou publicamente que o grupo havia explorado políticas DMARC fracas ou configuradas incorretamente para enviar e-mails que imitavam convincentemente domínios legítimos.
Por que os códigos QR tornam esses ataques tão perigosos?
Ao contrário do phishing tradicional, as iscas baseadas em QR Codes levam as vítimas para longe dos sistemas gerenciados por empresas e para dispositivos móveis pessoais ou com proteção limitada. Essa mudança permite que os invasores contornem ferramentas de segurança de e-mail corporativo, plataformas de proteção de endpoints e controles de monitoramento de rede.
Uma vez escaneados, os códigos QR maliciosos direcionam os alvos para infraestrutura controlada pelo atacante, onde credenciais, cookies de sessão ou dados confidenciais podem ser coletados sem acionar os alertas padrão da empresa.
Cenários de ataques observados pelo FBI em 2025
O FBI relatou diversas campanhas direcionadas conduzidas por agentes do Kimsuky em maio e junho de 2025, incluindo:
- Fingir ser um assessor de política externa e pedir a um líder de um think tank que escaneie um código QR para acessar um questionário sobre os acontecimentos na Península Coreana.
- Fingindo ser um funcionário da embaixada em busca de informações especializadas sobre direitos humanos na Coreia do Norte, com um código QR que supostamente levava a uma "unidade segura".
- Fingindo ser um membro da equipe de um think tank, o atacante envia códigos QR que redirecionam as vítimas para uma infraestrutura controlada por ele, permitindo sua exploração posterior.
- Visando uma empresa de consultoria estratégica com convites falsos para conferências, usando códigos QR que levavam a páginas de inscrição fraudulentas criadas para roubar credenciais de contas do Google por meio de portais de login falsificados.
Esses incidentes ocorreram logo após uma divulgação separada feita por pesquisadores de segurança, que descobriram uma campanha de QR Code liderada por Kimsuky, que distribuía uma nova variante de malware para Android, chamada 'DocSwap', por meio de e-mails de phishing que imitavam uma empresa de logística sediada em Seul.
Como o Quishing permite intrusões resistentes à MFA
As operações modernas de quishing frequentemente culminam no roubo e na reprodução de tokens de sessão. Ao capturar tokens de autenticação ativos, os atacantes podem contornar completamente a autenticação multifator, assumindo o controle de identidades na nuvem sem acionar os avisos usuais de "falha na MFA".
A partir daí, os adversários estabelecem persistência no ambiente da vítima e frequentemente exploram a caixa de correio comprometida para lançar campanhas secundárias de spear-phishing internamente. Como a invasão inicial ocorre em dispositivos móveis não gerenciados, fora da cobertura padrão de EDR e dos limites de inspeção de rede, o quishing agora é considerado uma técnica de intrusão de identidade de alta confiabilidade e resistente à MFA em ambientes corporativos.
