Rabattoffert för flera licenser
Hotdatabas Nätfiske Kimsuki nätfiskeattack med QR-koder

Kimsuki nätfiskeattack med QR-koder

Med Mezo år Nätfiske, Advanced Persistent Threat (APT)
Översätt till:

Den amerikanska utredningsbyrån Federal Bureau of Investigation (FBI) har utfärdat en offentlig varning om att nordkoreanska statssponsrade hotaktörer aktivt använder skadliga QR-koder i riktade spear-phishing-kampanjer mot organisationer i USA. Dessa operationer, som observerats under hela 2025, representerar en växande förskjutning mot "quishing" – nätfiskeattacker som förlitar sig på Quick Response (QR)-koder för att leverera skadligt innehåll.

Vilka står bakom kampanjerna?

Aktiviteten tillskrivs hotgruppen Kimsuky, även känd inom säkerhetsvärlden som APT43, Black Banshee, Emerald Sleet, Springtail, TA427 och Velvet Chollima. Detta kluster bedöms vara kopplat till Nordkoreas Reconnaissance General Bureau (RGB).

Kimsuky har ett långvarigt rykte om sig för sofistikerade spear-phishing-operationer, särskilt de som är utformade för att kringgå eller undergräva kontroller av e-postautentisering. I maj 2024 rapporterade den amerikanska regeringen offentligt att gruppen hade utnyttjat svaga eller felaktigt konfigurerade DMARC-policyer för att skicka e-postmeddelanden som övertygande utgav sig för att vara legitima domäner.

Varför QR-koder gör dessa attacker så farliga

Till skillnad från traditionellt nätfiske, driver QR-baserade lockbete offer bort från företagsstyrda system och över till personliga eller lätt skyddade mobila enheter. Denna förändring gör det möjligt för angripare att kringgå företagets e-postsäkerhetsverktyg, plattformar för slutpunktsskydd och nätverksövervakningskontroller.

När de skadliga QR-koderna har skannats leder de måltavlor till en angriparkontrollerad infrastruktur, där inloggningsuppgifter, sessionscookies eller känslig data kan samlas in utan att utlösa vanliga företagsvarningar.

FBI-observerade attackscenarier år 2025

FBI rapporterade flera riktade kampanjer som genomfördes av Kimsuky-aktörer i maj och juni 2025, inklusive:

  • Att utge sig för att vara en utrikespolitisk rådgivare och be en tankesmedjaledare att skanna en QR-kod för att få tillgång till ett frågeformulär om utvecklingen på Koreahalvön.
  • Utger sig för att vara ambassadsanställd och söker expertråd om nordkoreanska mänskliga rättigheter, med en QR-kod som påstår sig länka till en "säker hårddisk"
  • Utgav sig för att vara en anställd i en tankesmedja och skickade QR-koder som omdirigerade offer till angriparkontrollerad infrastruktur för vidare utnyttjande.
  • Inriktade sig på ett strategiskt rådgivningsföretag med falska konferensinbjudningar, med hjälp av QR-koder som ledde till bedrägliga registreringssidor som byggts för att stjäla Google-kontouppgifter via förfalskade inloggningsportaler.

Dessa incidenter följde tätt efter ett separat avslöjande av säkerhetsforskare, som avslöjade en Kimsuky-driven QR-kampanj som distribuerade en ny variant av Android-skadlig kod, "DocSwap", genom nätfiskemejl som imiterade ett logistikföretag baserat i Seoul.

Hur quishing möjliggör MFA-motståndskraftiga intrång

Moderna quishing-operationer kulminerar ofta i stöld och uppspelning av sessionstoken. Genom att fånga aktiva autentiseringstoken kan angripare kringgå multifaktorautentisering helt och hållet och ta över molnidentiteter utan att utlösa de vanliga varningarna "MFA misslyckades".

Därifrån etablerar motståndare en beständighet i offermiljön och utnyttjar ofta den komprometterade postlådan för att starta sekundära spear-phishing-kampanjer internt. Eftersom den initiala komprometten sker på ohanterade mobila enheter, utanför standard EDR-täckning och nätverksinspektionsgränser, anses quishing nu vara en högkonfidentiell, MFA-resistent identitetsintrångsteknik i företagsmiljöer.

Trendigt

Mest sedda

Läser in...