La Oficina Federal de Investigaciones (FBI) de EE. UU. publicó una advertencia el jueves sobre actores de amenazas norcoreanos patrocinados por el estado que utilizan códigos QR maliciosos en campañas de phishing contra empresas del país.
“Desde 2025, los actores de Kimsuky se han dirigido a grupos de expertos, instituciones académicas y entidades gubernamentales estadounidenses y extranjeras en campañas de phishing con códigos maliciosos de respuesta rápida (QR) integrados”, dijo el FBI en la alerta rápida. “Este tipo de ataque de phishing se llama quishing”.
El uso de códigos QR para phishing es una táctica que obliga a las víctimas a cambiar de una computadora protegida por políticas corporativas a un dispositivo móvil que puede no ofrecer el mismo nivel de protección, lo que permite a los actores de amenazas eludir eficazmente las defensas tradicionales.
Kimsuky, también conocido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, es un grupo de amenazas que se cree que está vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. La empresa tiene una larga trayectoria en la organización de campañas de phishing diseñadas específicamente para socavar los protocolos de autenticación de correo electrónico.
En un boletín publicado en mayo de 2024, el gobierno de EE. UU. acusó al equipo de piratas informáticos de explotar políticas de registros de conformidad, informes y autenticación de mensajes basados en dominios (DMARC) mal configuradas para enviar correos electrónicos que parecían provenir de un dominio legítimo.
El FBI dijo que observó a los actores de Kimsuky utilizando códigos QR maliciosos como parte de esfuerzos de phishing dirigidos en múltiples ocasiones en mayo y junio de 2025.
- Engañé a un consultor extranjero en correos electrónicos pidiéndole al líder de un grupo de expertos información sobre los acontecimientos recientes en la península de Corea escaneando un código QR para acceder a un cuestionario.
- Falsificar los correos electrónicos de un funcionario de la embajada solicitando comentarios de un alto funcionario de un grupo de expertos sobre cuestiones de derechos humanos en Corea del Norte, junto con un código QR que pretende brindar acceso a una unidad segura.
- Engaño a un empleado de un think tank mediante correos electrónicos con un código QR que pretende conducir a la víctima a una infraestructura que controla para llevar a cabo otras actividades.
- Enviar correos electrónicos a una empresa de consultoría estratégica invitándolos a una conferencia inexistente pidiendo a los destinatarios que escaneen un código QR para redirigirlos a una página de inicio de registro diseñada para recopilar las credenciales de su cuenta de Google mediante una página de inicio de sesión falsa.
La revelación se produce menos de un mes después de que ENKI revelara detalles de una campaña de códigos QR dirigida por Kimsuky para difundir una nueva variante de malware de Android llamada DocSwap en correos electrónicos de phishing que se hacen pasar por una empresa de logística con sede en Seúl.
“Las operaciones de quishing a menudo terminan con el robo y la repetición de tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactor y secuestrar identidades en la nube sin activar las típicas alertas de “fallo de MFA”, dijo el FBI. “Los atacantes luego establecen persistencia en la organización (y difunden phishing secundario desde el buzón comprometido”.
“Debido a que la ruta de compromiso se origina en dispositivos móviles no administrados fuera de los límites normales de detección y respuesta de endpoints (EDR) y de inspección de red, el quishing ahora se considera un vector de ataque de identidad altamente confiable y resistente a MFA en entornos empresariales”.
About The Author
