O FBI afirma que o Kimsuky APT, um grupo de hackers apoiado pelo estado norte-coreano, está a usar códigos QR maliciosos para invadir organizações dos EUA ligadas à política sobre a Coreia do Norte.
O aviso surgiu num FLASH do FBI de 2025 partilhado com ONGs, grupos de reflexão, universidades e grupos ligados ao governo. A agência afirma que todos os alvos partilham uma coisa. Estudam, aconselham ou trabalham em torno da Coreia do Norte.
Segundo o FBI, o Kimsuky APT está a executar campanhas de spearphishing que dependem de códigos QR em vez de links, um método conhecido como Quishing.
Os códigos QR ocultam URLs prejudiciais e as vítimas quase sempre os digitalizam com telemóveis, não com computadores de trabalho. Esta mudança permite que os atacantes contornem filtros de email, scanners de links e ferramentas sandbox que normalmente detetam phishing.
Kimsuky APT envia emails baseados em QR a alvos de política e investigação
O FBI afirma que o Kimsuky APT usou vários emails temáticos em 2025. Cada um correspondia ao trabalho e interesses do alvo. Em maio, os atacantes fizeram-se passar por um conselheiro estrangeiro. Enviaram um email a um líder de um grupo de reflexão pedindo opiniões sobre eventos recentes na Península Coreana. O email incluía um código QR que alegava abrir um questionário.
Mais tarde, em maio, o grupo fez-se passar por um funcionário de embaixada. Esse email foi enviado a um investigador sénior de um grupo de reflexão. Pedia contributos sobre direitos humanos norte-coreanos. O código QR alegava desbloquear uma unidade segura. Nesse mesmo mês, outro email fingia vir de um funcionário de um grupo de reflexão. Digitalizar o seu código QR enviava a vítima para uma infraestrutura do Kimsuky APT construída para atividade maliciosa.
Em junho de 2025, o FBI afirma que o grupo visou uma empresa de consultoria estratégica. O email convidava funcionários para uma conferência que não existia. Um código QR enviava os utilizadores para uma página de registo. Um botão de registo levava então os visitantes a uma página de login falsa do Google. Essa página recolhia nomes de utilizador e palavras-passe. O FBI ligou este passo a atividade de recolha de credenciais rastreada como T1056.003.
Digitalizações QR levam a roubo de tokens e apropriação de contas
O FBI afirma que muitos destes ataques terminam com roubo e repetição de tokens de sessão. Isto permite que os atacantes contornem a autenticação de múltiplos fatores sem acionar alertas. As contas são apropriadas silenciosamente. Depois disso, os atacantes alteram configurações, adicionam acessos e mantêm o controlo. O FBI afirma que as caixas de correio comprometidas são então usadas para enviar mais emails de spearphishing dentro da mesma organização.
O FBI observa que estes ataques começam em telemóveis pessoais. Isso coloca-os fora das ferramentas normais de deteção de endpoints e monitorização de rede. Por causa disso, o FBI afirmou:-
O FBI exorta as organizações a reduzirem o risco. A agência afirma que os funcionários devem ser alertados sobre a digitalização de códigos QR aleatórios de emails, cartas ou folhetos. A formação deve cobrir urgência falsa e falsificação de identidade. Os trabalhadores devem verificar pedidos de códigos QR através de contacto direto antes de iniciar sessão ou transferir ficheiros. Devem estar em vigor regras claras de reporte.
O FBI também recomenda usar:- "MFA resistente a phishing para todos os acessos remotos e sistemas sensíveis" e "rever privilégios de acesso de acordo com o princípio do menor privilégio e auditar regularmente permissões de conta não utilizadas ou excessivas."
As mentes cripto mais inteligentes já leem a nossa newsletter. Quer juntar-se? Junte-se a eles.
Fonte: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
