L’Oficina Federal d’Investigació dels Estats Units (FBI) va publicar dijous un avís sobre actors d’amenaces patrocinats per l’Estat nord-coreà que fan servir codis QR maliciosos en campanyes de spear phishing dirigides a entitats del país.

A l’alerta flash, l’FBI va dir que «A partir del 2025, els actors de Kimsuky han atacat grups de reflexió, institucions acadèmiques i entitats governamentals nord-americanes i estrangeres amb codis de resposta ràpida (QR) maliciosos integrats en campanyes de spear-phishing. Aquest tipus d’atac de spear-phishing es coneix com a quishing.»

L’ús de codis QR per a la suplantació d’identitat (phishing o pesca) és una tàctica que obliga les víctimes a canviar d’una màquina protegida per polítiques empresarials a un dispositiu mòbil que pot no oferir el mateix nivell de protecció, cosa que permet que els actors amenaçadors eludeixin les defenses tradicionals.

Kimsuky, també conegut com a APT43, Black Banshee, Emerald Sleet, Springtail, TA427 i Velvet Chollima, és un grup d’amenaces que s’ha avaluat com a afiliat a l’Oficina General de Reconeixement (RGB) de Corea del Nord. Té un llarg historial d’orquestrar campanyes de spear-phishing dissenyades específicament per subvertir els protocols d’autenticació del correu electrònic.

En un butlletí publicat el maig de 2024, el govern dels EUA va avisar que l’equip de pirates informàtics explotava polítiques de registre DMARC (Domain-based Message Authentication, Reporting, and Conformance) configurades incorrectament per enviar correus electrònics que semblen haver vingut d’un domini legítim.

L’FBI va dir que va observar que els actors de Kimsuky feien servir codis QR maliciosos com a part dels esforços de pesca dirigits diverses vegades el maig i juny de 2025.

• Suplantació d’un assessor estranger en correus electrònics que sol·liciten informació al líder d’un grup de reflexió sobre els esdeveniments recents a la península coreana escanejant un codi QR per accedir a un qüestionari.
• Suplantació d’un empleat de l’ambaixada en correus electrònics que sol·licitaven l’aportació d’un membre sènior d’un grup de reflexió sobre qüestions de drets humans a Corea del Nord, juntament amb un codi QR que afirmava proporcionar accés a una unitat segura.
• Suplantació d’un empleat d’un grup de reflexió en correus electrònics amb un codi QR dissenyat per portar la víctima a la infraestructura sota el seu control per a una activitat posterior.
• Enviar correus electrònics a una empresa de consultoria estratègica, convidant-los a una conferència inexistent instant els destinataris a escanejar un codi QR per redirigir-los a una pàgina de registre dissenyada per recopilar les credencials del seu compte de Google mitjançant una pàgina d’inici de sessió falsa.

La revelació arriba menys d’un mes després que ENKI revelés detalls d’una campanya de codis QR duta a terme per Kimsuky per distribuir una nova variant de programari maliciós per a Android, anomenada DocSwap, en correus electrònics de pesca que imiten una empresa de logística amb seu a Seül.

«Les operacions de quishing sovint acaben amb el robatori i la reproducció de tokens de sessió, cosa que permet que els atacants eludeixin l’autenticació multifactor i segrestin identitats al núvol sense activar les típiques alertes de ‘MFA fallit'”, va dir l’FBI. «Llavors, els adversaris estableixen persistència a l’organització i propaguen spear-phishing secundari des de la bústia de correu compromesa.»

«Com que la ruta de compromís s’origina en dispositius mòbils no gestionats fora dels límits normals de Detecció i Resposta de Punts Finals (EDR) i d’inspecció de xarxa, el quishing ara es considera un vector d’intrusió d’identitat d’alta confiança i resistent a MFA en entorns empresarials.»