Sulmi i Kodeve QR të Phishing-ut Kimsuki

Byroja Federale e Hetimeve e SHBA-së ka lëshuar një paralajmërim publik se aktorët kërcënues të sponsorizuar nga shteti i Koresë së Veriut po përdorin në mënyrë aktive kode QR keqdashëse në fushata shumë të synuara të spear-phishing kundër organizatave në Shtetet e Bashkuara. Këto operacione, të vëzhguara gjatë gjithë vitit 2025, përfaqësojnë një zhvendosje në rritje drejt 'quishing' - sulmeve phishing që mbështeten në kodet e Përgjigjes së Shpejtë (QR) për të ofruar përmbajtje keqdashëse.

Kush është pas fushatave?

Aktiviteti i atribuohet grupit të kërcënimeve Kimsuky, i njohur gjithashtu në komunitetin e sigurisë si APT43, Black Banshee, Emerald Sleet, Springtail, TA427 dhe Velvet Chollima. Ky grumbull vlerësohet të jetë i lidhur me Byronë e Përgjithshme të Zbulimit (RGB) të Koresë së Veriut.

Kimsuky ka një reputacion të gjatë për operacione të sofistikuara të spear-phishing, veçanërisht ato të dizajnuara për të shmangur ose minuar kontrollet e vërtetimit të email-it. Në maj 2024, qeveria amerikane raportoi publikisht se grupi kishte shfrytëzuar politika të dobëta ose të konfiguruara në mënyrë të papërshtatshme të DMARC për të dërguar email-e që në mënyrë bindëse imitonin domene legjitime.

Pse kodet QR i bëjnë këto sulme kaq të rrezikshme

Ndryshe nga phishing-u tradicional, karremat e bazuara në kodin QR i largojnë viktimat nga sistemet e menaxhuara nga korporatat dhe i drejtojnë ato në pajisje personale ose pak të mbrojtura mobile. Ky ndryshim u lejon sulmuesve të anashkalojnë mjetet e sigurisë së email-it të ndërmarrjeve, platformat e mbrojtjes së pikave fundore dhe kontrollet e monitorimit të rrjetit.

Pasi skanohen, kodet QR keqdashëse drejtojnë objektivat në infrastrukturën e kontrolluar nga sulmuesi, ku kredencialet, cookie-t e sesionit ose të dhënat e ndjeshme mund të mblidhen pa shkaktuar alarme standarde të ndërmarrjes.

Skenarët e sulmeve të vëzhguara nga FBI në vitin 2025

FBI raportoi fushata të shumta të synuara të kryera nga aktorët e Kimsuky në maj dhe qershor 2025, duke përfshirë:

• Imitimi i një këshilltari të politikës së jashtme dhe kërkesa ndaj një udhëheqësi të një grupi ekspertësh të skanojë një kod QR për të aksesuar një pyetësor në lidhje me zhvillimet në Gadishullin Korean
• I maskuar si punonjës i ambasadës që kërkon mendim eksperti mbi të drejtat e njeriut në Korenë e Veriut, me një kod QR që pretendon se lidhet me një 'disk të sigurt'.
• Duke u paraqitur si anëtar i stafit të një grupi ekspertësh dhe duke dërguar kode QR që i ridrejtonin viktimat në infrastrukturën e kontrolluar nga sulmuesi për shfrytëzim të mëvonshëm.
• Synimi i një firme këshillimi strategjik me ftesa të rreme për konferenca, duke përdorur kode QR që çuan në faqe regjistrimi mashtruese të ndërtuara për të vjedhur kredencialet e llogarisë Google përmes portaleve të falsifikuara të hyrjes.

Këto incidente pasuan menjëherë pas një zbulimi të veçantë nga studiuesit e sigurisë, të cilët zbuluan një fushatë QR të drejtuar nga Kimsuky që shpërndante një variant të ri të malware-it për Android, 'DocSwap', përmes emaileve phishing që imitonin një kompani logjistike me seli në Seul.

Si e mundëson Quishing ndërhyrjet rezistente ndaj MFA-së

Operacionet moderne të shuarjes së sinjaleve shpesh kulmojnë në vjedhjen e tokenëve të sesionit dhe riprodhimin e tyre. Duke kapur tokenët aktivë të autentifikimit, sulmuesit mund ta anashkalojnë plotësisht autentifikimin shumëfaktorësh, duke marrë përsipër identitetet e cloud-it pa shkaktuar paralajmërimet e zakonshme 'MFA dështoi'.

Nga aty, kundërshtarët krijojnë qëndrueshmëri brenda mjedisit të viktimës dhe shpesh shfrytëzojnë kutinë postare të kompromentuar për të nisur fushata dytësore spear-phishing brenda vendit. Meqenëse kompromentimi fillestar ndodh në pajisje mobile të pamenaxhuara, jashtë kufijve standardë të mbulimit EDR dhe inspektimit të rrjetit, quishing tani konsiderohet një teknikë ndërhyrjeje në identitet me besim të lartë dhe rezistente ndaj MFA brenda mjediseve të ndërmarrjeve.