La Oficina Federal de Investigaciones (FBI) de Estados Unidos emitió el jueves una advertencia de que atacantes patrocinados por el estado de Corea del Norte están utilizando códigos QR maliciosos en campañas de phishing dirigidas a organizaciones del país.
«A partir de 2025, los actores de amenazas de Kimsuky han incorporado códigos maliciosos de respuesta rápida (QR) en campañas de phishing dirigidas a grupos de expertos, instituciones académicas y agencias gubernamentales estadounidenses y extranjeras», dijo el FBI en un boletín. «Este tipo de ataque de phishing se llama quissing».
El uso de códigos QR en phishing es una táctica que obliga a las víctimas a pasar de máquinas protegidas por políticas corporativas a dispositivos móviles que pueden no ofrecer el mismo nivel de protección, lo que permite a los atacantes eludir las defensas tradicionales.
Kimsuky, también rastreado como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, es un grupo de amenazas evaluado como afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Tiene una larga trayectoria en la organización de campañas de phishing dirigidas específicamente a subvertir los protocolos de autenticación de correo electrónico.
En un boletín publicado en mayo de 2024, el gobierno de EE. UU. acusó a un grupo de piratas informáticos de abusar de políticas de registros de autenticación, informes y conformidad de mensajes basados en dominios (DMARC) configuradas incorrectamente para enviar correos electrónicos que parecían provenir de dominios legítimos.
El FBI anunció que observó a los atacantes de Kimski utilizando códigos QR maliciosos varias veces en mayo y junio de 2025 como parte de operaciones de phishing específicas.
Se hace pasar por un asesor extranjero en un correo electrónico que escanea un código QR para acceder a una encuesta y solicita información de un líder de un grupo de expertos sobre los acontecimientos recientes en la península de Corea Afirma proporcionar acceso a una unidad segura Se hace pasar por un funcionario de la embajada en un correo electrónico que solicita la opinión de un investigador senior de un grupo de expertos sobre cuestiones de derechos humanos en Corea del Norte, junto con un código QR QR diseñado para dirigir a las víctimas a la infraestructura controlada para otras actividades Una firma de asesoría estratégica que se hace pasar por un funcionario de un grupo de expertos en un correo electrónico que contiene un código invita a los destinatarios a escanear un código QR que se redirige a una página de inicio de registro diseñada para recopilar las credenciales de la cuenta de Google utilizando una página de inicio de sesión falsa, invitándolos a una conferencia inexistente.
La divulgación se produce menos de un mes después de que ENKI revelara detalles de una campaña de códigos QR dirigida por Kimsuky para distribuir una nueva variante de malware de Android llamada DocSwap en correos electrónicos de phishing que imitaban a una empresa de logística con sede en Seúl.
«Las operaciones de interrupción a menudo terminan con el robo y la recuperación de tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactor y hacerse cargo de las identidades de la nube sin activar la típica alerta de ‘fallo de MFA'», dijo el FBI. «Luego, el atacante establece persistencia dentro de la organización y difunde phishing secundario desde el buzón comprometido».
«Quishing ahora se considera un vector de intrusión de identidad confiable y resistente a MFA en entornos empresariales, ya que la ruta de compromiso se origina en dispositivos móviles no administrados fuera de los perímetros normales de detección y respuesta de endpoints (EDR) y de inspección de red».
Source link
