O grupo de hackers patrocinado pelo governo norte-coreano, conhecido como Kimsuky, está utilizando códigos QR maliciosos em campanhas de spearphishing direcionadas a organizações dos Estados Unidos, alerta o Federal Bureau of Investigation (FBI) em comunicado urgente.
A atividade identificada tem como alvo entidades envolvidas em políticas, pesquisas e análises relacionadas à Coreia do Norte, incluindo organizações não governamentais, think tanks, instituições acadêmicas, consultorias estratégicas e órgãos governamentais dos EUA.
O uso de códigos QR em ataques de phishing, técnica conhecida como quishing, não é novidade. O FBI já havia alertado sobre essa prática quando cibercriminosos a utilizaram para roubar dinheiro. Ainda assim, ela segue sendo uma forma eficaz de driblar medidas de segurança.
Kimsuky (também chamado de APT43) é um grupo de ameaça apoiado pelo Estado norte-coreano, responsável por diversos ataques em que os hackers se passam por jornalistas, exploram vulnerabilidades conhecidas, realizam ataques à cadeia de suprimentos (supply-chain) e empregam táticas como ClickFix.
O FBI destaca que, em campanhas realizadas no ano passado, atores associados ao Kimsuky enviavam e-mails contendo códigos QR que redirecionavam as vítimas a sites maliciosos disfarçados de questionários, drives seguros ou páginas falsas de login.
A agência apresentou quatro exemplos em que o grupo usou o quishing para conduzir os alvos a ambientes controlados pelos atacantes.
Para enganar as vítimas, os hackers assumiam identidades de investidores estrangeiros, funcionários de embaixadas, membros de think tanks e organizadores de conferências.
“Em junho de 2025, atores ligados ao Kimsuky enviaram um e-mail de spearphishing para uma consultoria estratégica, convidando os destinatários para uma conferência inexistente”, afirma o FBI.
Nas campanhas de quishing, ao escanear o código QR, a vítima geralmente é redirecionada para uma infraestrutura controlada pelo atacante, que coleta impressões digitais do dispositivo, além de informações como user agent, sistema operacional, endereço IP, resolução da tela e idioma local.
Normalmente, a vítima é apresentada a uma página de phishing que simula portais como Microsoft 365, Okta, VPNs ou Google, com o objetivo final de roubar credenciais de acesso ou tokens.
“As operações de quishing frequentemente resultam no furto e replay de tokens de sessão, permitindo que os atacantes contornem a autenticação multifator (MFA) e sequestrarem identidades em nuvem sem disparar alertas típicos de falha na MFA”, explica a agência.
Como o método obriga o alvo a usar dispositivos móveis para escanear o código QR, os criminosos conseguem evitar soluções tradicionais de segurança por e-mail e distribuir mensagens maliciosas a partir de caixas de entrada comprometidas.
O FBI classifica esses ataques como um “vetor de intrusão de identidade resistente à MFA”, uma vez que têm origem em dispositivos móveis não gerenciados, fora do monitoramento padrão por Endpoint Detection and Response (EDR) e redes corporativas.
Para se proteger dessas ameaças, o FBI recomenda treinamento específico para funcionários, verificação da origem dos códigos QR, implantação de soluções de mobile device management (MDM) e aplicação rigorosa da autenticação multifator.
Além disso, a agência orienta que potenciais vítimas reportem imediatamente os incidentes ao grupo local de cibersegurança do FBI ou pelo portal IC3.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...