Pag-atake ng Kimsuki Phishing QR Codes

Naglabas ang US Federal Bureau of Investigation ng babala sa publiko na ang mga aktor ng banta na inisponsor ng estado ng Hilagang Korea ay aktibong gumagamit ng mga malisyosong QR code sa mga lubos na naka-target na kampanya ng spear-phishing laban sa mga organisasyon sa Estados Unidos. Ang mga operasyong ito, na naobserbahan sa buong 2025, ay kumakatawan sa isang lumalaking paglipat patungo sa 'quishing' — mga pag-atake sa phishing na umaasa sa mga Quick Response (QR) code upang maghatid ng malisyosong nilalaman.

Sino ang Nasa Likod ng mga Kampanya?

Ang aktibidad ay iniuugnay sa grupong banta ng Kimsuky, na kilala rin sa komunidad ng seguridad bilang APT43, Black Banshee, Emerald Sleet, Springtail, TA427, at Velvet Chollima. Tinatayang ang kumpol na ito ay may kaugnayan sa Reconnaissance General Bureau (RGB) ng Hilagang Korea.

Matagal nang kilala ang Kimsuky sa mga sopistikadong operasyon ng spear-phishing, lalo na iyong mga idinisenyo upang maiwasan o pahinain ang mga kontrol sa pagpapatotoo ng email. Noong Mayo 2024, iniulat ng gobyerno ng US sa publiko na ginamit ng grupo ang mahihina o hindi wastong na-configure na mga patakaran ng DMARC upang magpadala ng mga email na nakakakumbinsing nagpapanggap na lehitimong mga domain.

Bakit Ginagawang Mapanganib ng mga QR Code ang mga Pag-atakeng Ito

Hindi tulad ng tradisyonal na phishing, ang mga pang-akit na nakabatay sa QR ay nagtutulak sa mga biktima palayo sa mga sistemang pinamamahalaan ng mga korporasyon patungo sa mga personal o bahagyang protektadong mobile device. Ang pagbabagong ito ay nagbibigay-daan sa mga umaatake na malampasan ang mga tool sa seguridad ng email ng negosyo, mga platform ng proteksyon ng endpoint, at mga kontrol sa pagsubaybay sa network.

Kapag na-scan na, ang mga malisyosong QR code ay nagdidirekta ng mga target sa imprastrakturang kontrolado ng attacker, kung saan maaaring makuha ang mga kredensyal, session cookies, o sensitibong data nang hindi nagti-trigger ng mga karaniwang alerto sa enterprise.

Mga Senaryo ng Pag-atake na Naobserbahan ng FBI noong 2025

Iniulat ng FBI ang maraming naka-target na kampanya na isinagawa ng mga aktor na Kimsuky noong Mayo at Hunyo 2025, kabilang ang:

• Pagpapanggap na tagapayo sa patakarang panlabas at paghiling sa isang pinuno ng think tank na i-scan ang isang QR code upang ma-access ang isang palatanungan tungkol sa mga pag-unlad sa Korean Peninsula
• Nagbabalatkayo bilang empleyado ng embahada na humihingi ng opinyon ng eksperto tungkol sa karapatang pantao ng Hilagang Korea, gamit ang isang QR code na nagsasabing naka-link sa isang 'secure drive'
• Pagpapanggap bilang isang kawani ng think tank at pagpapadala ng mga QR code na nag-redirect sa mga biktima sa imprastrakturang kontrolado ng mga umaatake para sa kasunod na pagsasamantala
• Pag-target sa isang strategic advisory firm gamit ang mga pekeng imbitasyon sa kumperensya, gamit ang mga QR code na humantong sa mga mapanlinlang na pahina ng pagpaparehistro na ginawa upang nakawin ang mga kredensyal ng Google account sa pamamagitan ng mga pekeng login portal

Ang mga insidenteng ito ay sumunod kasunod ng isang hiwalay na pagsisiwalat ng mga mananaliksik sa seguridad, na natuklasan ang isang kampanyang QR na pinapatakbo ng Kimsuky na namamahagi ng isang bagong variant ng malware sa Android, ang 'DocSwap,' sa pamamagitan ng mga phishing email na ginagaya ang isang kumpanya ng logistik na nakabase sa Seoul.

Paano Pinapagana ng Quishing ang mga Panghihimasok na Matatag sa MFA

Ang mga modernong operasyon ng quishing ay kadalasang humahantong sa pagnanakaw at pag-replay ng mga token ng session. Sa pamamagitan ng pagkuha ng mga aktibong token ng authentication, maaaring ganap na malampasan ng mga umaatake ang multi-factor authentication, na kumukuha ng mga cloud identities nang hindi nagti-trigger ng karaniwang mga babala na 'Nabigo ang MFA'.

Mula roon, ang mga kalaban ay nagtatatag ng pagtitiyaga sa loob ng kapaligiran ng biktima at kadalasang ginagamit ang nakompromisong mailbox upang maglunsad ng mga pangalawang kampanya ng spear-phishing sa loob ng kumpanya. Dahil ang unang pagkompromiso ay nangyayari sa mga hindi pinamamahalaang mobile device, sa labas ng karaniwang saklaw ng EDR at mga hangganan ng inspeksyon ng network, ang quishing ay itinuturing na ngayong isang high-confidence, MFA-resistant na pamamaraan ng panghihimasok sa pagkakakilanlan sa loob ng mga kapaligiran ng negosyo.