Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Ataque de códigos QR de phishing de Kimsuki

Ataque de códigos QR de phishing de Kimsuki

Por Mezo en Suplantación de identidad (phishing), Amenaza persistente avanzada (APT)
Traducir a:

El Buró Federal de Investigaciones (FBI) de EE. UU. ha emitido una advertencia pública sobre el uso activo de códigos QR maliciosos por parte de actores de amenazas estatales norcoreanos en campañas de phishing selectivo altamente dirigidas contra organizaciones en Estados Unidos. Estas operaciones, observadas a lo largo de 2025, representan un cambio creciente hacia el "quishing", ataques de phishing que se basan en códigos QR de respuesta rápida para enviar contenido malicioso.

¿Quién está detrás de las campañas?

La actividad se atribuye al grupo de amenazas Kimsuky, también conocido en la comunidad de seguridad como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima. Se estima que este grupo está vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte.

Kimsuky tiene una larga reputación por sus sofisticadas operaciones de phishing selectivo, en particular aquellas diseñadas para evadir o socavar los controles de autenticación de correo electrónico. En mayo de 2024, el gobierno estadounidense informó públicamente que el grupo había explotado políticas DMARC débiles o mal configuradas para enviar correos electrónicos que suplantaban de forma convincente dominios legítimos.

¿Por qué los códigos QR hacen que estos ataques sean tan peligrosos?

A diferencia del phishing tradicional, los señuelos basados en códigos QR alejan a las víctimas de los sistemas administrados por la empresa y las dirigen a dispositivos personales o móviles con poca protección. Este cambio permite a los atacantes eludir las herramientas de seguridad del correo electrónico empresarial, las plataformas de protección de endpoints y los controles de monitorización de red.

Una vez escaneados, los códigos QR maliciosos dirigen a los objetivos a la infraestructura controlada por el atacante, donde se pueden recolectar credenciales, cookies de sesión o datos confidenciales sin activar las alertas empresariales estándar.

Escenarios de ataques observados por el FBI en 2025

El FBI informó sobre múltiples campañas dirigidas por actores de Kimsuky en mayo y junio de 2025, entre ellas:

  • Hacerse pasar por un asesor de política exterior y pedirle a un líder de un grupo de expertos que escanee un código QR para acceder a un cuestionario sobre los acontecimientos en la península de Corea.
  • Haciéndose pasar por un empleado de la embajada que buscaba asesoramiento experto sobre los derechos humanos en Corea del Norte, con un código QR que supuestamente enlazaba a una "unidad segura".
  • Haciéndose pasar por un miembro del personal de un grupo de expertos y enviando códigos QR que redirigían a las víctimas a una infraestructura controlada por el atacante para su posterior explotación.
  • Ataque a una empresa de asesoría estratégica con invitaciones a conferencias falsas, utilizando códigos QR que conducían a páginas de registro fraudulentas diseñadas para robar credenciales de cuentas de Google a través de portales de inicio de sesión falsificados.

Estos incidentes se produjeron poco después de una revelación separada por parte de investigadores de seguridad, que descubrieron una campaña QR dirigida por Kimsuky que distribuía una nueva variante de malware para Android, 'DocSwap', a través de correos electrónicos de phishing que imitaban a una empresa de logística con sede en Seúl.

Cómo Quishing permite intrusiones resistentes a MFA

Las operaciones modernas de quishing suelen culminar en el robo y la reproducción de tokens de sesión. Al capturar tokens de autenticación activos, los atacantes pueden eludir por completo la autenticación multifactor y tomar el control de las identidades en la nube sin activar las advertencias habituales de "MFA fallido".

Desde allí, los adversarios establecen persistencia en el entorno de la víctima y, a menudo, aprovechan el buzón comprometido para lanzar campañas secundarias de phishing a nivel interno. Dado que la vulneración inicial se produce en dispositivos móviles no administrados, fuera de la cobertura EDR estándar y de los límites de inspección de red, el quishing se considera ahora una técnica de intrusión de identidad de alta confianza y resistente a la MFA en entornos empresariales.

Tendencias

Mas Visto

Cargando...