Das FBI meldet, dass Kimsuky APT, eine von Nordkorea staatlich unterstützte Hackergruppe, bösartige QR-Codes verwendet, um in US-Organisationen einzudringen, die mit der Nordkorea-Politik verbunden sind.
Die Warnung erfolgte in einem FBI FLASH von 2025, der mit NGOs, Think Tanks, Universitäten und regierungsnahen Gruppen geteilt wurde. Die Behörde erklärt, dass die Ziele alle eines gemeinsam haben. Sie studieren, beraten oder arbeiten im Zusammenhang mit Nordkorea.
Laut FBI führt Kimsuky APT Spearphishing-Kampagnen durch, die auf QR-Codes statt auf Links setzen, eine Methode, die als Quishing bekannt ist.
Die QR-Codes verbergen schädliche URLs, und Opfer scannen sie fast immer mit Telefonen, nicht mit Arbeitscomputern. Diese Verlagerung ermöglicht es den Angreifern, an E-Mail-Filtern, Link-Scannern und Sandbox-Tools vorbeizuschlüpfen, die normalerweise Phishing erkennen.
Kimsuky APT sendet QR-basierte E-Mails an Politik- und Forschungsziele
Das FBI erklärt, dass Kimsuky APT im Jahr 2025 mehrere thematische E-Mails verwendet hat. Jede war auf den Job und die Interessen des Ziels abgestimmt. Im Mai gaben sich Angreifer als ausländischer Berater aus. Sie schickten eine E-Mail an einen Think-Tank-Leiter und fragten nach Ansichten zu aktuellen Ereignissen auf der koreanischen Halbinsel. Die E-Mail enthielt einen QR-Code, der angeblich einen Fragebogen öffnen sollte.
Später im Mai gab sich die Gruppe als Botschaftsmitarbeiter aus. Diese E-Mail ging an einen Senior Fellow eines Think Tanks. Sie bat um Beiträge zu nordkoreanischen Menschenrechten. Der QR-Code sollte angeblich ein sicheres Laufwerk freischalten. Im selben Monat gab sich eine weitere E-Mail als von einem Think-Tank-Mitarbeiter stammend aus. Das Scannen ihres QR-Codes leitete das Opfer zur Kimsuky APT-Infrastruktur, die für bösartige Aktivitäten aufgebaut wurde.
Im Juni 2025 zielte die Gruppe laut FBI auf ein strategisches Beratungsunternehmen ab. Die E-Mail lud Mitarbeiter zu einer Konferenz ein, die nicht existierte. Ein QR-Code leitete Benutzer zu einer Registrierungsseite. Eine Registrierungsschaltfläche führte Besucher dann zu einer gefälschten Google-Anmeldeseite. Diese Seite sammelte Benutzernamen und Passwörter. Das FBI verknüpfte diesen Schritt mit Credential-Harvesting-Aktivitäten, die als T1056.003 verfolgt werden.
QR-Scans führen zu Token-Diebstahl und Kontoübernahme
Das FBI erklärt, dass viele dieser Angriffe mit Sitzungs-Token-Diebstahl und Replay enden. Dies ermöglicht es Angreifern, die Multi-Faktor-Authentifizierung zu umgehen, ohne Warnmeldungen auszulösen. Konten werden unauffällig übernommen. Danach ändern Angreifer Einstellungen, fügen Zugriffe hinzu und behalten die Kontrolle. Das FBI erklärt, dass kompromittierte Postfächer dann verwendet werden, um weitere Spearphishing-E-Mails innerhalb derselben Organisation zu versenden.
Das FBI stellt fest, dass diese Angriffe auf persönlichen Telefonen beginnen. Das bringt sie außerhalb normaler Endpunkt-Erkennungstools und Netzwerküberwachung. Aus diesem Grund sagte das FBI:-
Das FBI fordert Organisationen auf, Risiken zu reduzieren. Die Behörde erklärt, dass Mitarbeiter vor dem Scannen zufälliger QR-Codes aus E-Mails, Briefen oder Flyern gewarnt werden sollten. Schulungen sollten gefälschte Dringlichkeit und Identitätstäuschung abdecken. Mitarbeiter sollten QR-Code-Anfragen durch direkten Kontakt überprüfen, bevor sie sich anmelden oder Dateien herunterladen. Klare Melderegeln sollten vorhanden sein.
Das FBI empfiehlt außerdem die Verwendung von:- „Phishing-resistenter MFA für alle Fernzugriffe und sensiblen Systeme" und „Überprüfung der Zugriffsrechte nach dem Prinzip der geringsten Privilegien und regelmäßige Prüfung auf ungenutzte oder übermäßige Kontoberechtigungen."
Die klügsten Krypto-Köpfe lesen bereits unseren Newsletter. Dabei sein? Schließen Sie sich ihnen an.
Quelle: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
