La Oficina Federal de Investigaciones (FBI) de los Estados Unidos publicó el jueves una advertencia sobre los actores de amenazas patrocinados por el estado norcoreano que utilizan códigos QR maliciosos en campañas de spear-phising dirigidas a entidades del país.
«A partir de 2025, los actores de Kimsuky han atacado centros de estudios, instituciones académicas y entidades gubernamentales estadounidenses y extranjeras con códigos de respuesta rápida (QR) maliciosos integrados en las campañas de spear-phising», dijo el FBI dijo en la alerta flash. «Este tipo de ataque de suplantación de identidad se denomina ataque de suplantación de identidad».
El uso de códigos QR para la suplantación de identidad es una táctica que obliga a las víctimas a cambiar de una máquina protegida por políticas empresariales a un dispositivo móvil que puede no ofrecer el mismo nivel de protección, lo que permite a los actores de amenazas eludir las defensas tradicionales.
Kimsuky, también rastreado como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, es un grupo de amenazas que, según se estima, está afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Cuenta con un largo historial de organización de campañas de spear-phising diseñadas específicamente para subvertir los protocolos de autenticación del correo electrónico.
En un boletín publicado en mayo de 2024, el gobierno de EE. UU. llamó el equipo de piratas informáticos por aprovechar las políticas de registro de autenticación, notificación y conformidad de mensajes basadas en el dominio (DMARC) configuradas incorrectamente para enviar correos electrónicos que parecen provenir de un dominio legítimo.
El FBI dijo que observó varias veces a los actores de Kimsuky utilizar códigos QR maliciosos como parte de esfuerzos de suplantación de identidad selectivos en mayo y junio de 2025 -
- Falsificar a un asesor extranjero en correos electrónicos solicitando información al líder de un centro de estudios sobre los últimos acontecimientos en la península de Corea escaneando un código QR para acceder a un cuestionario
- Falsificar a un empleado de la embajada en correos electrónicos en los que se solicitaba la opinión de un investigador sénior de un centro de estudios sobre cuestiones de derechos humanos en Corea del Norte, junto con un código QR que pretendía dar acceso a una unidad segura
- Falsificar a un empleado de un grupo de expertos en correos electrónicos con un código QR diseñado para llevar a la víctima a la infraestructura bajo su control para realizar una actividad de seguimiento
- Enviar correos electrónicos a una empresa de asesoramiento estratégico e invitarlos a una conferencia inexistente instando a los destinatarios a escanear un código QR para redirigirlos a una página de inicio de registro diseñada para recopilar las credenciales de su cuenta de Google mediante una página de inicio de sesión falsa
La revelación se produce menos de un mes después de ENKI revelada detalles de una campaña de códigos QR llevada a cabo por Kimsuky para distribuir una nueva variante de malware para Android llamada DocSwap en correos electrónicos de suplantación de identidad que imitan a una empresa de logística con sede en Seúl.
«Las operaciones de búsqueda suelen terminar con el robo y la repetición de los tokens de sesión, lo que permite a los atacantes eludir la autenticación multifactorial y secuestrar identidades en la nube sin activar las típicas alertas de error de MFA», afirma el FBI. «Luego, los adversarios demuestran la persistencia en la organización [y] propagan la suplantación de identidad secundaria desde el buzón infectado».
«Dado que la ruta comprometida se origina en dispositivos móviles no gestionados que se encuentran fuera de los límites normales de detección y respuesta de puntos finales (EDR) y de inspección de redes, Quishing ahora se considera un vector de intrusión de identidad de alta confianza y resistente a la MFA en los entornos empresariales».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS