Atacul cu coduri QR de phishing Kimsuki
Biroul Federal de Investigații al SUA a emis un avertisment public conform căruia actorii amenințători sponsorizați de statul nord-coreean utilizează în mod activ coduri QR malițioase în campanii de spear-phishing extrem de bine direcționate împotriva organizațiilor din Statele Unite. Aceste operațiuni, observate pe parcursul anului 2025, reprezintă o trecere tot mai mare către „quishing” - atacuri de tip phishing care se bazează pe coduri de răspuns rapid (QR) pentru a transmite conținut malițios.
Cuprins
Cine se află în spatele campaniilor?
Activitatea este atribuită grupului de amenințări Kimsuky, cunoscut și în comunitatea de securitate sub numele de APT43, Black Banshee, Emerald Sleet, Springtail, TA427 și Velvet Chollima. Se evaluează că acest grup are legătură cu Biroul General de Recunoaștere (RGB) al Coreei de Nord.
Kimsuky are o reputație îndelungată pentru operațiuni sofisticate de spear-phishing, în special cele concepute pentru a eluda sau a submina controalele de autentificare a e-mailurilor. În mai 2024, guvernul SUA a raportat public că grupul a exploatat politici DMARC slabe sau configurate necorespunzător pentru a trimite e-mailuri care se prefăceau în mod convingător în domenii legitime.
De ce codurile QR fac aceste atacuri atât de periculoase
Spre deosebire de phishing-ul tradițional, momelile bazate pe coduri QR îndepărtează victimele de sistemele gestionate de corporații și le împing pe dispozitive mobile personale sau ușor protejate. Această schimbare permite atacatorilor să ocolească instrumentele de securitate a e-mailurilor din cadrul companiilor, platformele de protecție a endpoint-urilor și controalele de monitorizare a rețelei.
Odată scanate, codurile QR malițioase direcționează țintele către infrastructura controlată de atacatori, unde pot fi colectate acreditări, cookie-uri de sesiune sau date sensibile fără a declanșa alerte standard ale companiei.
Scenarii de atac observate de FBI în 2025
FBI a raportat mai multe campanii specifice desfășurate de actori din grupul Kimsuky în mai și iunie 2025, inclusiv:
- Imitarea identității unui consilier de politică externă și solicitarea unui lider de think tank să scaneze un cod QR pentru a accesa un chestionar despre evoluțiile din Peninsula Coreeană
- Se deghizează în angajat al ambasadei care solicită părerea unui expert în drepturile omului în Coreea de Nord, folosind un cod QR care pretinde că trimite către o „unitate de stocare securizată”
- Dându-se drept membru al personalului unui think tank și trimițând coduri QR care redirecționau victimele către infrastructura controlată de atacatori pentru exploatare ulterioară
- Vizarea unei firme de consultanță strategică cu invitații false la conferințe, folosind coduri QR care au dus la pagini de înregistrare frauduloase create pentru a fura datele de autentificare ale contului Google prin intermediul unor portaluri de autentificare contrafăcute.
Aceste incidente au urmat îndeaproape unei dezvăluiri separate a cercetătorilor în securitate, care au descoperit o campanie de coduri QR condusă de Kimsuky, care distribuia o nouă variantă de malware pentru Android, „DocSwap”, prin e-mailuri de phishing care imitau o companie de logistică cu sediul la Seul.
Cum permite Quishing-ul intruziuni rezistente la MFA
Operațiunile moderne de quishing culminează frecvent cu furtul și reluarea token-urilor de sesiune. Prin capturarea token-urilor de autentificare active, atacatorii pot ocoli complet autentificarea multi-factor, preluând identitățile în cloud fără a declanșa avertismentele obișnuite „MFA eșuat”.
De acolo, adversarii stabilesc persistența în mediul victimei și adesea utilizează cutia poștală compromisă pentru a lansa intern campanii secundare de spear-phishing. Deoarece compromiterea inițială are loc pe dispozitive mobile negestionate, în afara acoperirii EDR standard și a limitelor de inspecție a rețelei, quishing-ul este considerat acum o tehnică de intruziune a identității de înaltă încredere, rezistentă la MFA, în mediile enterprise.
