De FBI meldt dat Kimsuky APT, een door de Noord-Koreaanse staat gesteunde hackersgroep, kwaadaardige QR-codes gebruikt om binnen te dringen bij Amerikaanse organisaties die verbonden zijn met het Noord-Korea-beleid.
De waarschuwing kwam in een FBI FLASH uit 2025 die werd gedeeld met NGO's, denktanks, universiteiten en aan de overheid verbonden groepen. Het bureau stelt dat de doelwitten allemaal één ding gemeen hebben. Ze bestuderen, adviseren over of werken rond Noord-Korea.
Volgens de FBI voert Kimsuky APT spearphishing-campagnes uit die vertrouwen op QR-codes in plaats van links, een methode die bekend staat als Quishing.
De QR-codes verbergen schadelijke URL's, en slachtoffers scannen ze bijna altijd met telefoons, niet met werkcomputers. Deze verschuiving stelt de aanvallers in staat om e-mailfilters, linkscanners en sandboxtools die phishing gewoonlijk opvangen te omzeilen.
Kimsuky APT verstuurt op QR-codes gebaseerde e-mails naar beleids- en onderzoeksdoelwitten
De FBI meldt dat Kimsuky APT in 2025 verschillende thematische e-mails gebruikte. Elk ervan kwam overeen met de functie en interesses van het doelwit. In mei poseerden aanvallers als een buitenlandse adviseur. Ze mailden een denktankleider en vroegen om standpunten over recente gebeurtenissen op het Koreaanse schiereiland. De e-mail bevatte een QR-code die beweerde een vragenlijst te openen.
Later in mei poseerde de groep als een ambassademedewerker. Die e-mail ging naar een senior fellow bij een denktank. Het vroeg om input over Noord-Koreaanse mensenrechten. De QR-code beweerde een beveiligde schijf te ontgrendelen. Diezelfde maand deed een andere e-mail zich voor als afkomstig van een denktankmedewerker. Het scannen van de QR-code stuurde het slachtoffer naar Kimsuky APT-infrastructuur die was gebouwd voor kwaadaardige activiteiten.
In juni 2025 richtte de groep zich volgens de FBI op een strategisch adviesbureau. De e-mail nodigde medewerkers uit voor een conferentie die niet bestond. Een QR-code stuurde gebruikers naar een registratiepagina. Een registratieknop leidde bezoekers vervolgens naar een nep-Google-inlogpagina. Die pagina verzamelde gebruikersnamen en wachtwoorden. De FBI koppelde deze stap aan credential harvesting-activiteit die wordt gevolgd als T1056.003.
QR-scans leiden tot diefstal van tokens en overname van accounts
De FBI meldt dat veel van deze aanvallen eindigen met sessietoken-diefstal en replay. Hierdoor kunnen aanvallers multi-factor authenticatie omzeilen zonder waarschuwingen te activeren. Accounts worden stilletjes overgenomen. Daarna wijzigen aanvallers instellingen, voegen toegang toe en behouden controle. De FBI meldt dat gecompromitteerde mailboxen vervolgens worden gebruikt om meer spearphishing-e-mails binnen dezelfde organisatie te versturen.
De FBI merkt op dat deze aanvallen beginnen op persoonlijke telefoons. Dat plaatst ze buiten normale endpoint detection-tools en netwerkmonitoring. Daarom zei de FBI:-
De FBI dringt er bij organisaties op aan om risico's te verminderen. Het bureau stelt dat medewerkers gewaarschuwd moeten worden voor het scannen van willekeurige QR-codes uit e-mails, brieven of flyers. Training moet nep-urgentie en identiteitsdiefstal behandelen. Werknemers moeten QR-codeverzoeken verifiëren via direct contact voordat ze inloggen of bestanden downloaden. Er moeten duidelijke rapportageregels zijn.
De FBI beveelt ook aan om te gebruiken:- "phishing-resistente MFA voor alle externe toegang en gevoelige systemen," en "toegangsrechten te herzien volgens het principe van minimale bevoegdheden en regelmatig te controleren op ongebruikte of buitensporige accountpermissies."
De slimste crypto-geesten lezen onze nieuwsbrief al. Wil je meedoen? Sluit je bij hen aan.
Bron: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
