L'FBI afferma che Kimsuky APT, un gruppo di hacker supportato dallo stato nordcoreano, sta utilizzando codici QR dannosi per infiltrarsi in organizzazioni statunitensi collegate alla politica della Corea del Nord.
L'avvertimento è arrivato in un FBI FLASH del 2025 condiviso con ONG, think tank, università e gruppi connessi al governo. L'agenzia afferma che tutti i bersagli hanno una cosa in comune. Studiano, consigliano o lavorano intorno alla Corea del Nord.
Secondo l'FBI, Kimsuky APT sta conducendo campagne di spearphishing che si basano su codici QR invece di link, un metodo conosciuto come Quishing.
I codici QR nascondono URL dannosi e le vittime li scansionano quasi sempre con i telefoni, non con i computer di lavoro. Questo cambiamento consente agli aggressori di aggirare i filtri email, gli scanner di link e gli strumenti sandbox che di solito catturano il phishing.
Kimsuky APT invia email basate su QR a obiettivi di policy e ricerca
L'FBI afferma che Kimsuky APT ha utilizzato diverse email tematiche nel 2025. Ognuna corrispondeva al lavoro e agli interessi del bersaglio. A maggio, gli aggressori si sono spacciati per un consulente straniero. Hanno inviato un'email al leader di un think tank chiedendo opinioni sugli eventi recenti nella penisola coreana. L'email includeva un codice QR che affermava di aprire un questionario.
Più tardi a maggio, il gruppo si è spacciato per un dipendente dell'ambasciata. Quell'email è andata a un senior fellow di un think tank. Chiedeva un contributo sui diritti umani della Corea del Nord. Il codice QR affermava di sbloccare un drive sicuro. Quello stesso mese, un'altra email fingeva di provenire da un dipendente di un think tank. La scansione del suo codice QR ha inviato la vittima all'infrastruttura di Kimsuky APT costruita per attività dannose.
A giugno 2025, l'FBI afferma che il gruppo ha preso di mira una società di consulenza strategica. L'email invitava il personale a una conferenza che non esisteva. Un codice QR inviava gli utenti a una pagina di registrazione. Un pulsante di registrazione spingeva poi i visitatori verso una falsa pagina di login di Google. Quella pagina raccoglieva nomi utente e password. L'FBI ha collegato questo passaggio all'attività di raccolta di credenziali tracciata come T1056.003.
Le scansioni QR portano al furto di token e al takeover degli account
L'FBI afferma che molti di questi attacchi terminano con il furto e la riproduzione di token di sessione. Questo consente agli aggressori di aggirare l'autenticazione a più fattori senza attivare avvisi. Gli account vengono presi silenziosamente. Dopo di che, gli aggressori modificano le impostazioni, aggiungono accessi e mantengono il controllo. L'FBI afferma che le caselle di posta compromesse vengono poi utilizzate per inviare più email di spearphishing all'interno della stessa organizzazione.
L'FBI nota che questi attacchi iniziano sui telefoni personali. Ciò li colloca al di fuori dei normali strumenti di rilevamento degli endpoint e del monitoraggio della rete. Per questo motivo, l'FBI ha dichiarato:-
L'FBI esorta le organizzazioni a ridurre il rischio. L'agenzia afferma che il personale dovrebbe essere avvisato di non scansionare codici QR casuali da email, lettere o volantini. La formazione dovrebbe coprire la falsa urgenza e l'impersonificazione. I lavoratori dovrebbero verificare le richieste di codici QR attraverso contatti diretti prima di effettuare il login o scaricare file. Dovrebbero essere in vigore regole chiare di segnalazione.
L'FBI raccomanda anche di utilizzare:- "MFA resistente al phishing per tutti gli accessi remoti e i sistemi sensibili" e "rivedere i privilegi di accesso secondo il principio del minimo privilegio e controllare regolarmente le autorizzazioni degli account inutilizzate o eccessive."
Le menti crypto più intelligenti leggono già la nostra newsletter. Vuoi unirti? Unisciti a loro.
Fonte: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
