La Oficina Federal de Investigaciones (FBI) de EE. UU. publicó el jueves una advertencia sobre los actores de amenazas patrocinados por el estado de Corea del Norte que aprovechan códigos QR maliciosos en campañas de phishing dirigidas a entidades del país.
«A partir de 2025, los actores de Kimsuky se han dirigido a grupos de expertos, instituciones académicas y entidades gubernamentales tanto estadounidenses como extranjeras con códigos maliciosos de respuesta rápida (QR) integrados en campañas de phishing», dijo el FBI. dicho en la alerta de flash. «Este tipo de ataque de phishing se conoce como quishing».
El uso de códigos QR para phishing es una táctica que obliga a las víctimas a cambiar de una máquina protegida por políticas empresariales a un dispositivo móvil que puede no ofrecer el mismo nivel de protección, lo que permite efectivamente a los actores de amenazas eludir las defensas tradicionales.
Kimsuky, también identificado como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, es un grupo de amenazas que se considera afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Tiene una larga trayectoria en la organización de campañas de phishing diseñadas específicamente para subvertir los protocolos de autenticación de correo electrónico.
En un boletín publicado en mayo de 2024, el gobierno de EE. UU. llamó el equipo de piratería por explotar políticas de registro de conformidad, informes y autenticación de mensajes basados en dominios (DMARC) configuradas incorrectamente para enviar correos electrónicos que parecen provenir de un dominio legítimo.
El FBI dijo que observó a los actores de Kimsuky utilizar códigos QR maliciosos como parte de esfuerzos de phishing dirigidos varias veces en mayo y junio de 2025.
- Falsificar a un asesor extranjero en correos electrónicos solicitando información del líder de un grupo de expertos sobre los acontecimientos recientes en la Península de Corea escaneando un código QR para acceder a un cuestionario
- Falsificar a un empleado de la embajada en correos electrónicos solicitando información de un alto miembro de un grupo de expertos sobre cuestiones de derechos humanos de Corea del Norte, junto con un código QR que afirmaba brindar acceso a una unidad segura.
- Falsificar a un empleado de un centro de estudios en correos electrónicos con un código QR diseñado para llevar a la víctima a la infraestructura bajo su control para realizar actividades de seguimiento.
- Enviar correos electrónicos a una empresa de asesoría estratégica, invitándolos a una conferencia inexistente instando a los destinatarios a escanear un código QR para redirigirlos a una página de inicio de registro diseñada para recopilar las credenciales de su cuenta de Google mediante el uso de una página de inicio de sesión falsa.
La divulgación se produce menos de un mes después de que ENKI reveló detalles de una campaña de códigos QR realizada por Kimsuky para distribuir una nueva variante de malware de Android llamada DocSwap en correos electrónicos de phishing que imitan a una empresa de logística con sede en Seúl.
«Las operaciones de quishing frecuentemente terminan con el robo y repetición de tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactor y secuestrar identidades en la nube sin activar las típicas alertas de 'fallo de MFA'», dijo el FBI. «Los adversarios luego establecen persistencia en la organización[ypropaganelphishingsecundariodesdeelbuzóncomprometido»[andpropagatesecondaryspear-phishingfromthecompromisedmailbox»
«Debido a que la ruta de compromiso se origina en dispositivos móviles no administrados fuera de los límites normales de detección y respuesta de endpoints (EDR) y de inspección de red, Quishing ahora se considera un vector de intrusión de identidad de alta confianza y resistente a MFA en entornos empresariales».
Fuente