La Oficina Federal de Investigaciones (FBI) de EE. UU. publicó el jueves una advertencia sobre los actores de amenazas patrocinados por el estado de Corea del Finalidad que aprovechan códigos QR maliciosos en campañas de phishing dirigidas a entidades del país.
“A partir de 2025, los actores de Kimsuky se han dirigido a grupos de expertos, instituciones académicas y entidades gubernamentales tanto estadounidenses como extranjeras con códigos maliciosos de respuesta rápida (QR) integrados en campañas de phishing”, dijo el FBI en la alerta instantánea. “Este tipo de ataque de phishing se conoce como quishing”.
El uso de códigos QR para phishing es una táctica que obliga a las víctimas a cambiar de una máquina protegida por políticas empresariales a un dispositivo móvil que puede no ofrecer el mismo nivel de protección, lo que permite efectivamente a los actores de amenazas eludir las defensas tradicionales.
Kimsuky, asimismo identificado como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, es un montón de amenazas que se considera afiliado a la Oficina Universal de Registro (RGB) de Corea del Finalidad. Tiene una larga trayectoria en la ordenamiento de campañas de phishing diseñadas específicamente para trastornar los protocolos de autenticación de correo electrónico.
En un boletín publicado en mayo de 2024, el gobierno de EE. UU. denunció al equipo de piratas informáticos por explotar políticas de registro de conformidad, informes y autenticación de mensajes basados en dominios (DMARC) configuradas incorrectamente para remitir correos electrónicos que parecen provenir de un dominio legal.
El FBI dijo que observó a los actores de Kimsuky utilizar códigos QR maliciosos como parte de esfuerzos de phishing dirigidos varias veces en mayo y junio de 2025.
- Falsificar a un asesor extranjero en correos electrónicos solicitando información de un líder de un montón de expertos sobre los acontecimientos recientes en la Península de Corea escaneando un código QR para ingresar a un cuestionario.
- Falsificar a un empleado de la embajada en correos electrónicos solicitando información de un stop miembro de un montón de expertos sobre cuestiones de derechos humanos de Corea del Finalidad, anejo con un código QR que afirmaba congratular acercamiento a una mecanismo segura.
- Falsificar a un empleado de un centro de estudios en correos electrónicos con un código QR diseñado para soportar a la víctima a la infraestructura bajo su control para realizar actividades de seguimiento.
- Despachar correos electrónicos a una empresa de consultorio estratégica, invitándolos a una conferencia inexistente instando a los destinatarios a escanear un código QR para redirigirlos a una página de inicio de registro diseñada para resumir las credenciales de su cuenta de Google mediante el uso de una página de inicio de sesión falsa.
La divulgación se produce menos de un mes luego de que ENKI revelara detalles de una campaña de códigos QR realizada por Kimsuky para distribuir una nueva variable de malware de Android llamamiento DocSwap en correos electrónicos de phishing que imitaban a una empresa de transporte con sede en Seúl.
“Las operaciones de quishing frecuentemente terminan con el robo y repetición de tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactor y secuestrar identidades en la nimbo sin activar las típicas alertas de ‘falta de MFA'”, dijo el FBI. “Los adversarios luego establecen persistencia en la ordenamiento (y propagan el phishing secundario desde el abertura comprometido”.
“Conveniente a que la ruta de compromiso se origina en dispositivos móviles no administrados fuera de los límites normales de detección y respuesta de endpoints (EDR) y de inspección de red, Quishing ahora se considera un vector de intrusión de identidad de reincorporación confianza y resistente a MFA en entornos empresariales”.
