Das FBI teilt mit, dass die Kimsuky APT, eine vom nordkoreanischen Staat unterstützte Hackergruppe, bösartige QR-Codes verwendet, um in US-Organisationen einzudringen, die mit der Nordkorea-Politik in Verbindung stehen.
Die Warnung erfolgte in einem FBI-Flash-Meldungsbericht aus dem Jahr 2025, der an NGOs, Thinktanks, Universitäten und regierungsnahe Gruppen verteilt wurde. Laut FBI haben die Zielpersonen eines gemeinsam: Sie beschäftigen sich mit Nordkorea, beraten dazu oder arbeiten in dessen Umfeld.
Nach Angaben des FBI führt die APT-Gruppe Kimsuky Spear-Phishing-Kampagnen durch, bei denen QR-Codes anstelle von Links zum Einsatz kommen – eine Methode, die als Quishing bekannt ist.
Die QR-Codes verbergen schädliche URLs, und Opfer scannen sie fast immer mit Smartphones, nicht mit Arbeitscomputern. Dadurch können Angreifer E-Mail-Filter, Link-Scanner und Sandbox-Tools umgehen, die normalerweise Phishing-Angriffe erkennen.
Kimsuky APT versendet QR-Code-basierte E-Mails an politische und Forschungsziele
Das FBI gab bekannt, dass die Kimsuky-APT-Gruppe im Jahr 2025 mehrere thematisch aufeinander abgestimmte E-Mails verwendete. Jede E-Mail war auf den Beruf und die Interessen des jeweiligen Ziels zugeschnitten. Im Mai gaben sich die Angreifer als ausländischer Berater aus. Sie kontaktierten einen Leiter einer Denkfabrik per E-Mail und baten um dessen Einschätzung zu den jüngsten Ereignissen auf der koreanischen Halbinsel. Die E-Mail enthielt einen QR-Code, der angeblich zu einem Fragebogen führte.
Ende Mai gab sich die Gruppe als Botschaftsmitarbeiter aus. Die E-Mail ging an einen leitenden Mitarbeiter eines Thinktanks. Darin wurde um Stellungnahme zu Menschenrechtsverletzungen in Nordkorea gebeten. Der QR-Code sollte angeblich ein sicheres Laufwerk freischalten. Im selben Monat verschickte die Gruppe eine weitere E-Mail, die vorgab, von einem Thinktank-Mitarbeiter zu stammen. Durch Scannen des QR-Codes gelangte das Opfer zur Kimsuky-APT-Infrastruktur, die für Schadsoftware-Angriffe entwickelt worden war.
Im Juni 2025 nahm die Gruppe laut FBI eine strategische Beratungsfirma ins Visier. In einer E-Mail wurden Mitarbeiter zu einer nicht existierenden Konferenz eingeladen. Ein QR-Code führte die Nutzer auf eine Registrierungsseite. Ein Registrierungsbutton leitete die Besucher dann auf eine gefälschte Google-Anmeldeseite weiter. Diese Seite sammelte Benutzernamen und Passwörter. Das FBI ordnete diesen Schritt der unter der Aktennummer T1056.003 tracAktivität zum Diebstahl von Zugangsdatendent.
QR-Scans führen zu Token-Diebstahl und Kontoübernahmen
„Quishing-Operationen enden häufig mit dem Diebstahl und der Wiederholung von Session-Tokens [T1550.004], wodurch Angreifer die Multi-Faktor-Authentifizierung umgehen [T1550.004] und Cloud-Identitäten übernehmen können, dent die üblichen „MFA fehlgeschlagen“-Warnungen auszulösen“, sagte das FBI.
Laut FBI enden viele dieser Angriffe mit dem Diebstahl von Session-Token und deren anschließender Wiedergabe. Dadurch können Angreifer die Zwei-Faktor-Authentifizierung umgehen, ohne Alarm auszulösen. Konten werden unbemerkt übernommen. Anschließend ändern die Angreifer Einstellungen, erweitern die Zugriffsrechte und behalten die Kontrolle. Das FBI erklärt, dass kompromittierte Postfächer dann genutzt werden, um weitere Spear-Phishing-E-Mails innerhalb derselben Organisation zu versenden.
Das FBI stellt fest, dass diese Angriffe von privaten Mobiltelefonen ausgehen. Dadurch entziehen sie sich den üblichen Tools zur Endpunkterkennung und Netzwerküberwachung. Aus diesem Grund erklärte das FBI:
„Quishing wird mittlerweile als ein sicherer und MFA-resistenter VektordentIdentitätsdiebstahl in Unternehmensumgebungen angesehen.“
Das FBI appelliert an Organisationen, Risiken zu minimieren. Die Behörde weist darauf hin, dass Mitarbeiter vor dem Scannen unbekannter QR-Codes aus E-Mails, Briefen oder Flyern gewarnt werden sollten. Schulungen sollten auch vorgetäuschte Dringlichkeit und Identitätsdiebstahl umfassen. Mitarbeiter sollten Anfragen bezüglich QR-Codes vor dem Einloggen oder Herunterladen von Dateien durch direkten Kontakt überprüfen. Klare Melderegeln sind unerlässlich.
Das FBI empfiehlt außerdem: „Phishing-resistente MFA für alle Fernzugriffe und sensible Systeme“ sowie „die Überprüfung der Zugriffsrechte nach dem Prinzip der minimalen Berechtigungen und regelmäßige Überprüfung auf ungenutzte oder übermäßige Kontoberechtigungen“
