Het Amerikaanse Federal Bureau of Investigation (FBI) heeft donderdag een adviserende waarschuwing uitgebracht over door de Noord-Koreaanse staat gesponsorde dreigingsactoren die kwaadaardige QR-codes gebruiken in spearphishing-campagnes gericht op entiteiten in het land.
“Vanaf 2025 hebben Kimsuky-actoren zich gericht op denktanks, academische instellingen en zowel Amerikaanse als buitenlandse overheidsinstanties met ingebedde kwaadaardige Quick Response (QR)-codes in spearphishing-campagnes”, aldus de FBI in de flashwaarschuwing. “Dit type spearphishing-aanval wordt quishing genoemd.”
Het gebruik van QR-codes voor phishing is een tactiek die slachtoffers dwingt om over te stappen van een machine die wordt beveiligd door bedrijfsbeleid, naar een mobiel apparaat dat mogelijk niet hetzelfde beschermingsniveau biedt, waardoor bedreigingsactoren effectief traditionele verdedigingsmechanismen kunnen omzeilen.
Kimsuky, ook gevolgd als APT43, Black Banshee, Emerald Sleet, Springtail, TA427 en Velvet Chollima, is een dreigingsgroep waarvan wordt aangenomen dat deze banden heeft met het Noord-Koreaanse Reconnaissance General Bureau (RGB). Het heeft een lange geschiedenis in het orkestreren van spearphishing-campagnes die specifiek zijn ontworpen om e-mailauthenticatieprotocollen te ondermijnen.
In een bulletin dat in mei 2024 werd uitgebracht, riep de Amerikaanse regering de hackploeg op voor het misbruiken van onjuist geconfigureerd DMARC-recordbeleid (Domain-based Message Authentication, Reporting, and Conformance) om e-mails te verzenden die eruitzien alsof ze afkomstig zijn van een legitiem domein.
De FBI zei dat het in mei en juni 2025 verschillende keren had waargenomen dat de Kimsuky-actoren kwaadaardige QR-codes gebruikten als onderdeel van gerichte phishing-inspanningen –
- Een buitenlandse adviseur voor de gek houden in e-mails waarin hij een denktankleider om inzicht vraagt over recente ontwikkelingen op het Koreaanse schiereiland door een QR-code te scannen om toegang te krijgen tot een vragenlijst
- Het vervalsen van een ambassademedewerker in e-mails waarin om input wordt gevraagd van een senior collega bij een denktank over Noord-Koreaanse mensenrechtenkwesties, samen met een QR-code die beweerde toegang te bieden tot een beveiligde schijf
- Een medewerker van een denktank voor de gek houden in e-mails met een QR-code die is ontworpen om het slachtoffer naar de infrastructuur onder hun controle te brengen voor vervolgactiviteiten
- E-mails sturen naar een strategisch adviesbureau, hen uitnodigen voor een niet-bestaande conferentie door de ontvangers aan te sporen een QR-code te scannen om hen door te sturen naar een registratie-landingspagina die is ontworpen om de inloggegevens van hun Google-account te verzamelen door gebruik te maken van een valse inlogpagina
De onthulling komt minder dan een maand nadat ENKI details onthulde van een QR-codecampagne uitgevoerd door Kimsuky om een nieuwe variant van Android-malware genaamd DocSwap te verspreiden in phishing-e-mails die een in Seoel gevestigd logistiek bedrijf nabootsen.
“Quishing-operaties eindigen vaak met diefstal en herhaling van sessietokens, waardoor aanvallers multi-factor authenticatie kunnen omzeilen en cloud-identiteiten kunnen kapen zonder typische ‘MFA mislukt’-waarschuwingen te activeren”, aldus de FBI. “Tegenstanders zorgen vervolgens voor volharding in de organisatie (en verspreiden secundaire spearphishing vanuit de gecompromitteerde mailbox.”
“Omdat het compromispad zijn oorsprong vindt op onbeheerde mobiele apparaten buiten de normale grenzen van Endpoint Detection and Response (EDR) en netwerkinspectie, wordt Quishing nu beschouwd als een zeer betrouwbare, MFA-veerkrachtige vector voor identiteitsinbraak in bedrijfsomgevingen.”
