El FBI afirma que Kimsuky APT, un grupo de hackers respaldado por el estado norcoreano, está utilizando códigos QR maliciosos para infiltrarse en organizaciones estadounidenses vinculadas a la política sobre Corea del Norte.
La advertencia llegó en un FLASH del FBI de 2025 compartido con ONGs, think tanks, universidades y grupos conectados al gobierno. La agencia dice que todos los objetivos comparten algo en común. Estudian, asesoran o trabajan en temas relacionados con Corea del Norte.
Según el FBI, Kimsuky APT está ejecutando campañas de spearphishing que dependen de códigos QR en lugar de enlaces, un método conocido como Quishing.
Los códigos QR ocultan URLs dañinas, y las víctimas casi siempre los escanean con teléfonos, no con computadoras de trabajo. Este cambio permite a los atacantes eludir filtros de correo electrónico, escáneres de enlaces y herramientas sandbox que normalmente detectan el phishing.
Kimsuky APT envía correos electrónicos basados en QR a objetivos de política e investigación
El FBI dice que Kimsuky APT utilizó varios correos electrónicos temáticos en 2025. Cada uno coincidía con el trabajo e intereses del objetivo. En mayo, los atacantes se hicieron pasar por un asesor extranjero. Enviaron un correo electrónico al líder de un think tank solicitando opiniones sobre eventos recientes en la Península de Corea. El correo incluía un código QR que supuestamente abría un cuestionario.
Más tarde en mayo, el grupo se hizo pasar por un trabajador de embajada. Ese correo fue dirigido a un investigador principal de un think tank. Solicitaba opiniones sobre los derechos humanos en Corea del Norte. El código QR supuestamente desbloqueaba una unidad segura. Ese mismo mes, otro correo pretendía provenir de un empleado de un think tank. Escanear su código QR enviaba a la víctima a la infraestructura de Kimsuky APT construida para actividades maliciosas.
En junio de 2025, el FBI dice que el grupo atacó a una firma de asesoría estratégica. El correo invitaba al personal a una conferencia que no existía. Un código QR enviaba a los usuarios a una página de registro. Un botón de registro luego dirigía a los visitantes a una página de inicio de sesión falsa de Google. Esa página recopilaba nombres de usuario y contraseñas. El FBI vinculó este paso a la actividad de recopilación de credenciales rastreada como T1056.003.
Los escaneos QR conducen al robo de tokens y la toma de control de cuentas
El FBI dice que muchos de estos ataques terminan con el robo y reproducción de tokens de sesión. Esto permite a los atacantes eludir la autenticación de dos factores sin activar alertas. Las cuentas son tomadas de forma silenciosa. Después de eso, los atacantes cambian configuraciones, añaden acceso y mantienen el control. El FBI dice que los buzones comprometidos se utilizan luego para enviar más correos de spearphishing dentro de la misma organización.
El FBI señala que estos ataques comienzan en teléfonos personales. Eso los coloca fuera de las herramientas normales de detección de endpoints y monitoreo de red. Debido a esto, el FBI dijo:-
El FBI insta a las organizaciones a reducir el riesgo. La agencia dice que el personal debe ser advertido sobre el escaneo de códigos QR aleatorios de correos electrónicos, cartas o folletos. La capacitación debe cubrir la falsa urgencia y la suplantación de identidad. Los trabajadores deben verificar las solicitudes de códigos QR a través de contacto directo antes de iniciar sesión o descargar archivos. Deben estar establecidas reglas claras de reporte.
El FBI también recomienda usar:- "MFA resistente al phishing para todo el acceso remoto y sistemas sensibles," y "revisar los privilegios de acceso de acuerdo con el principio de mínimo privilegio y auditar regularmente los permisos de cuenta no utilizados o excesivos."
Las mentes cripto más inteligentes ya leen nuestro boletín. ¿Quieres unirte? Únete a ellos.
Fuente: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
