Le FBI affirme que le groupe APT nord-coréen Kimsuky utilise des codes QR malveillants pour hameçonner des entités américaines

Le FBI affirme que Kimsuky APT, un groupe de pirates informatiques soutenu par l'État nord-coréen, utilise des codes QR malveillants pour s'introduire dans des organisations américaines liées à la politique nord-coréenne.

L'avertissement figurait dans une note d'information du FBI datant de 2025, diffusée auprès d'ONG, de groupes de réflexion, d'universités et d'organisations liées au gouvernement. L'agence précise que les cibles ont toutes un point commun : elles étudient, conseillent ou travaillent avec la Corée du Nord.

Selon le FBI, le groupe Kimsuky APT mène des campagnes de spearphishing qui utilisent des codes QR au lieu de liens, une méthode connue sous le nom de Quishing.

Les codes QR dissimulent des URL malveillantes, et les victimes les scannent presque toujours avec leur téléphone, et non avec leur ordinateur professionnel. Ce changement permet aux attaquants de contourner les filtres anti-spam, les scanners de liens et les outils de détection qui repèrent habituellement les tentatives d'hameçonnage.

Kimsuky APT envoie des courriels contenant des codes QR à des cibles politiques et de recherche

Le FBI indique que le groupe Kimsuky APT a utilisé plusieurs courriels thématiques en 2025. Chaque courriel correspondait au poste et aux centres d'intérêt de la cible. En mai, les attaquants se sont fait passer pour un conseiller étranger. Ils ont envoyé un courriel au responsable d'un groupe de réflexion pour recueillir son avis sur les événements récents dans la péninsule coréenne. Ce courriel contenait un code QR censé ouvrir un questionnaire.

Plus tard en mai, le groupe s'est fait passer pour un employé d'ambassade. Ce courriel, adressé à un chercheur principal d'un groupe de réflexion, sollicitait son avis sur la situation des droits de l'homme en Corée du Nord. Le code QR était censé déverrouiller un lecteur sécurisé. Le même mois, un autre courriel prétendait provenir d'un employé du même groupe de réflexion. En scannant son code QR, la victime était redirigée vers l'infrastructure du groupe APT Kimsuky, conçue pour des activités malveillantes.

En juin 2025, le FBI a déclaré que le groupe avait ciblé un cabinet de conseil en stratégie. Le courriel invitait les employés à une conférence fictive. Un code QR redirigeait les utilisateurs vers une page d'inscription. Un bouton « S'inscrire » les redirigeait ensuite vers une fausse page de connexion Google. Cette page collectait les identifiants et mots de passe. Le FBI adentun lien entre cette étape et une activité de vol d'identifiants tracsous le code T1056.003.

Les scans de QR codes entraînent le vol de jetons et la prise de contrôle des comptes

« Les opérations de quishing se terminent fréquemment par le vol et la relecture de jetons de session [T1550.004], permettant aux attaquants de contourner l'authentification multifactorielle [T1550.004] et de détourner les identités clouddentdéclencher les alertes typiques « échec de l'authentification multifactorielle » », a déclaré le FBI.

Le FBI indique que nombre de ces attaques aboutissent au vol et à la réutilisation des jetons de session. Cela permet aux attaquants de contourner l'authentification multifacteurs sans déclencher d'alerte. Les comptes sont ainsi pris en main discrètement. Les attaquants modifient ensuite les paramètres, ajoutent des droits d'accès et conservent le contrôle. Le FBI précise que les boîtes mail compromises sont alors utilisées pour envoyer d'autres courriels d'hameçonnage ciblés au sein de la même organisation.

Le FBI note que ces attaques débutent sur des téléphones personnels. Elles échappent donc aux outils de détection de terminaux et de surveillance réseau classiques. C'est pourquoi le FBI a déclaré :

« Le quishing est désormais considéré comme un vecteur d'intrusion d'identité à haute fiabilité et résistant àdentmultifacteur dans les environnements d'entreprise. »

Le FBI exhorte les organisations à réduire les risques. L'agence recommande de sensibiliser le personnel aux dangers de scanner des codes QR aléatoires figurant dans des courriels, des lettres ou des prospectus. La formation devrait aborder la question des fausses alertes et de l'usurpation d'identité. Les employés doivent vérifier les demandes de codes QR par contact direct avant de se connecter ou de télécharger des fichiers. Des règles de signalement claires doivent être mises en place.

Le FBI recommande également d'utiliser : « une authentification multifacteur résistante au phishing pour tous les accès à distance et les systèmes sensibles », et « de revoir les privilèges d'accès selon le principe du moindre privilège et de procéder à des audits réguliers pour détecter les autorisations de compte inutilisées ou excessives »