L'FBI afferma che l'APT Kimsuky della Corea del Nord utilizza codici QR dannosi per effettuare attacchi di spear phishing a entità statunitensi

L'FBI afferma che Kimsuky APT, un gruppo di hacker sostenuto dallo Stato nordcoreano, sta utilizzando codici QR dannosi per entrare in organizzazioni statunitensi legate alla politica della Corea del Nord.

L'avvertimento è arrivato in un FLASH dell'FBI del 2025 condiviso con ONG, think tank, università e gruppi governativi. L'agenzia afferma che tutti gli obiettivi hanno in comune una cosa: studiano, forniscono consulenza o lavorano in Corea del Nord.

Secondo l'FBI, Kimsuky APT sta conducendo campagne di spear phishing che si basano su codici QR anziché su link, un metodo noto come Quishing.

I codici QR nascondono URL dannosi e le vittime li scansionano quasi sempre con lo smartphone, non con il computer. Questa caratteristica consente agli aggressori di aggirare i filtri email, gli scanner di link e gli strumenti sandbox che solitamente individuano il phishing.

Kimsuky APT invia e-mail basate su QR a obiettivi politici e di ricerca

L'FBI afferma che Kimsuky APT ha utilizzato diverse email tematiche nel 2025. Ognuna di esse corrispondeva al lavoro e agli interessi del bersaglio. A maggio, gli aggressori si sono spacciati per consulenti stranieri. Hanno inviato un'email a un leader di un think tank chiedendogli opinioni sui recenti eventi nella penisola coreana. L'email includeva un codice QR che presumibilmente apriva un questionario.

Più tardi, a maggio, il gruppo si è spacciato per un dipendente dell'ambasciata. L'email è stata inviata a un membro senior di un think tank. Chiedeva un parere sui diritti umani in Corea del Nord. Il codice QR affermava di poter sbloccare un'unità di archiviazione protetta. Nello stesso mese, un'altra email si spacciava per un dipendente di un think tank. La scansione del codice QR indirizzava la vittima all'infrastruttura APT di Kimsuky, progettata per attività dannose.

Nel giugno 2025, l'FBI afferma che il gruppo ha preso di mira una società di consulenza strategica. L'e-mail invitava il personale a una conferenza inesistente. Un codice QR indirizzava gli utenti a una pagina di registrazione. Un pulsante di registrazione reindirizzava poi i visitatori a una falsa pagina di accesso a Google. Quella pagina raccoglieva nomi utente e password. L'FBI ha collegato questo passaggiodentdi raccolta di credenziali traccome T1056.003.

Le scansioni QR portano al furto di token e all'appropriazione indebita dell'account

"Le operazioni di quishing spesso si concludono con il furto e la riproduzione del token di sessione [T1550.004], consentendo agli aggressori di aggirare l'autenticazione a più fattori [T1550.004] e di dirottare le identità clouddentattivare i tipici avvisi di "autenticazione a più fattori non riuscita", ha affermato l'FBI.

L'FBI afferma che molti di questi attacchi si concludono con il furto di token di sessione e la successiva replica. Ciò consente agli aggressori di aggirare l'autenticazione a più fattori senza attivare avvisi. Gli account vengono presi di mira in modo discreto. Successivamente, gli aggressori modificano le impostazioni, aggiungono accessi e mantengono il controllo. L'FBI afferma che le caselle di posta compromesse vengono quindi utilizzate per inviare ulteriori email di spearphishing all'interno della stessa organizzazione.

L'FBI sottolinea che questi attacchi hanno origine sui telefoni personali. Questo li esclude dai normali strumenti di rilevamento degli endpoint e di monitoraggio della rete. Per questo motivo, l'FBI ha dichiarato:

“Il quishing è ora considerato un vettore di intrusione didentad alta affidabilità e resiliente all'MFA negli ambienti aziendali.”

L'FBI esorta le organizzazioni a ridurre i rischi. L'agenzia afferma che il personale dovrebbe essere avvisato della scansione di codici QR casuali da e-mail, lettere o volantini. La formazione dovrebbe includere argomenti quali la falsa urgenza e la falsificazione d'identità. I ​​lavoratori dovrebbero verificare le richieste di codici QR tramite contatto diretto prima di accedere o scaricare file. Dovrebbero essere in vigore regole di segnalazione chiare.

L'FBI raccomanda inoltre di utilizzare: - "MFA resistente al phishing per tutti gli accessi remoti e i sistemi sensibili" e di "rivedere i privilegi di accesso in base al principio del privilegio minimo e di verificare regolarmente la presenza di autorizzazioni di account inutilizzate o eccessive"