El FBI advierte que piratas informáticos norcoreanos están usando códigos QR para violar políticas de grupos estadounidenses

El FBI dice que Kimsuky APT, un grupo de piratería respaldado por el estado de Corea del Norte, está utilizando códigos QR maliciosos para ingresar a organizaciones estadounidenses vinculadas a la política de Corea del Norte.

La advertencia se produjo en un FLASH del FBI de 2025 compartido con ONG, centros de investigación, universidades y grupos vinculados al gobierno. La agencia afirma que todos los objetivos comparten una característica: estudian, asesoran o trabajan en el entorno de Corea del Norte.

Según el FBI, Kimsuky APT está ejecutando campañas de phishing que se basan en códigos QR en lugar de enlaces, un método conocido como Quishing.

Los códigos QR ocultan URL dañinas, y las víctimas casi siempre los escanean con sus teléfonos, no con sus computadoras. Este cambio permite a los atacantes evadir los filtros de correo electrónico, los escáneres de enlaces y las herramientas de sandbox que suelen detectar el phishing.

Kimsuky APT envía correos electrónicos basados en códigos QR a destinatarios de políticas e investigación

El FBI afirma que la APT Kimsuky utilizó varios correos electrónicos temáticos en 2025. Cada uno coincidía con el trabajo y los intereses del objetivo. En mayo, los atacantes se hicieron pasar por un asesor extranjero. Enviaron un correo electrónico al líder de un grupo de expertos para solicitar su opinión sobre los acontecimientos recientes en la península de Corea. El correo incluía un código QR que supuestamente permitía abrir un cuestionario.

Más tarde, en mayo, el grupo se hizo pasar por un empleado de la embajada. Ese correo electrónico se dirigió a un miembro de alto rango de un centro de estudios. Solicitaba información sobre los derechos humanos en Corea del Norte. El código QR afirmaba desbloquear una unidad segura. Ese mismo mes, otro correo electrónico fingió provenir de un empleado de un centro de estudios. Al escanear el código QR, la víctima era enviada a la infraestructura APT de Kimsuky, diseñada para actividades maliciosas.

En junio de 2025, el FBI afirma que el grupo atacó a una firma de asesoría estratégica. El correo electrónico invitaba al personal a una conferencia inexistente. Un código QR enviaba a los usuarios a una página de registro. Un botón de registro dirigía a los visitantes a una página falsa de inicio de sesión de Google. Dicha página recopilaba nombres de usuario y contraseñas. El FBI vinculó este paso con la actividad de recolección dedent, traccomo T1056.003.

Los escaneos QR conducen al robo de tokens y a la apropiación de cuentas

“Las operaciones de quishing frecuentemente terminan con el robo y reproducción del token de sesión [T1550.004], lo que permite a los atacantes eludir la autenticación multifactor [T1550.004] y secuestrar identidades en la nube dent activar las típicas alertas de “MFA fallida””, dijo el FBI.

El FBI afirma que muchos de estos ataques terminan con el robo y la reproducción de tokens de sesión. Esto permite a los atacantes eludir la autenticación multifactor sin activar alertas. Las cuentas son usurpadas discretamente. Después, los atacantes modifican la configuración, añaden accesos y mantienen el control. El FBI afirma que los buzones de correo comprometidos se utilizan para enviar más correos electrónicos de phishing selectivo dentro de la misma organización.

El FBI señala que estos ataques se originan en teléfonos personales. Esto los sitúa fuera del alcance de las herramientas habituales de detección de endpoints y monitoreo de red. Por ello, el FBI declaró:

“El quishing ahora se considera un vector de intrusión dedentde alta confianza y resistente a MFA en entornos empresariales”

El FBI insta a las organizaciones a reducir el riesgo. La agencia recomienda advertir al personal sobre el escaneo de códigos QR aleatorios de correos electrónicos, cartas o folletos. La capacitación debe abordar la falsa urgencia y la suplantación de identidad. Los trabajadores deben verificar las solicitudes de códigos QR mediante contacto directo antes de iniciar sesión o descargar archivos. Se deben establecer normas claras para la presentación de informes.

El FBI también recomienda utilizar: “MFA resistente al phishing para todos los accesos remotos y sistemas sensibles” y “revisar los privilegios de acceso según el principio del mínimo privilegio y auditar regularmente los permisos de cuenta no utilizados o excesivos”

Reclama tu asiento gratuito en una comunidad exclusiva de comercio de criptomonedas , limitada a 1000 miembros.