Кимсуки фишинг напад QR кодовима

Амерички Федерални истражни биро издао је јавно упозорење да претње које спонзорише севернокорејска држава активно користе злонамерне QR кодове у високо циљаним фишинг кампањама против организација у Сједињеним Државама. Ове операције, примећене током 2025. године, представљају све већи помак ка „квишингу“ – фишинг нападима који се ослањају на QR (Quick Response) кодове за испоруку злонамерног садржаја.

Ко стоји иза кампања?

Активност се приписује претњи групи Кимсуки, познатој у безбедносној заједници и као APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima. Процењује се да је овај кластер повезан са севернокорејским извиђачким бироом (RGB).

Кимсуки има дугогодишњу репутацију софистицираних операција фишинга, посебно оних осмишљених да заобиђу или поткопају контроле аутентификације е-поште. У мају 2024. године, влада САД је јавно известила да је група искористила слабе или неправилно конфигурисане DMARC политике за слање е-поште које су убедљиво представљале легитимне домене.

Зашто QR кодови чине ове нападе тако опасним

За разлику од традиционалног фишинга, мамци засновани на QR кодовима одводе жртве од система којима управљају компаније и усмеравају их ка личним или слабо заштићеним мобилним уређајима. Ова промена омогућава нападачима да заобиђу алате за безбедност пословне е-поште, платформе за заштиту крајњих тачака и контроле за праћење мреже.

Једном скенирани, злонамерни QR кодови усмеравају мете ка инфраструктури коју контролише нападач, где се акредитиви, колачићи сесије или осетљиви подаци могу прикупити без покретања стандардних упозорења предузећа.

Сценарији напада које је ФБИ посматрао у 2025. години

ФБИ је пријавио више циљаних кампања које су спровели актери из филма „Кимсуки“ у мају и јуну 2025. године, укључујући:

• Лажно представљање саветника за спољну политику и тражење од лидера тинк тенка да скенира QR код како би приступио упитнику о дешавањима на Корејском полуострву
• Маскирајући се као запослени у амбасади који тражи стручно мишљење о људским правима у Северној Кореји, са QR кодом који тврди да води до „безбедног диска“
• Представљање као члан особља тинк-тенка и слање QR кодова који су преусмеравали жртве на инфраструктуру коју контролише нападач ради даље експлоатације
• Циљање лажних позивница за конференције на фирму за стратешко саветовање, коришћење QR кодова који су водили до лажних страница за регистрацију направљених за крађу података са Google налога путем фалсификованих портала за пријаву

Ови инциденти су уследили непосредно након посебног открића истраживача безбедности, који су открили QR кампању коју води Кимсуки, дистрибуирајући нову варијанту злонамерног софтвера за Андроид, „DocSwap“, путем фишинг имејлова који имитирају логистичку компанију са седиштем у Сеулу.

Како гашење омогућава упаде отпорне на вишефакторску идентификацију (MFA)

Модерне операције „скривања“ често кулминирају крађом и поновним играњем токена сесије. Преузимањем активних токена за аутентификацију, нападачи могу у потпуности заобићи вишефакторску аутентификацију, преузимајући идентитете у облаку без покретања уобичајених упозорења „MFA failed“ (МФА није успео).

Одатле, противници успостављају постојаност унутар окружења жртве и често користе угрожено поштанско сандуче за покретање секундарних фишинг кампања интерно. Пошто се почетно угрожавање дешава на неуправљаним мобилним уређајима, ван стандардне EDR покривености и граница мрежне инспекције, „сакривање“ се сада сматра техником упада у идентитет високе поузданости, отпорном на вишеструку фалсификовану идентификацију (MFA) у пословним окружењима.