Le FBI affirme que Kimsuky APT, un groupe de piratage soutenu par l'État nord-coréen, utilise des codes QR malveillants pour s'introduire dans des organisations américaines liées à la politique nord-coréenne.
L'avertissement est venu dans un FBI FLASH 2025 partagé avec des ONG, des groupes de réflexion, des universités et des groupes liés au gouvernement. L'agence indique que les cibles partagent toutes une chose. Elles étudient, conseillent sur ou travaillent autour de la Corée du Nord.
Selon le FBI, Kimsuky APT mène des campagnes d'hameçonnage ciblé qui reposent sur des codes QR plutôt que sur des liens, une méthode connue sous le nom de Quishing.
Les codes QR cachent des URL nuisibles, et les victimes les scannent presque toujours avec des téléphones, pas des ordinateurs de travail. Ce changement permet aux attaquants de contourner les filtres d'e-mails, les scanners de liens et les outils de sandbox qui détectent habituellement l'hameçonnage.
Kimsuky APT envoie des e-mails basés sur des codes QR à des cibles politiques et de recherche
Le FBI indique que Kimsuky APT a utilisé plusieurs e-mails thématiques en 2025. Chacun correspondait au travail et aux intérêts de la cible. En mai, les attaquants se sont fait passer pour un conseiller étranger. Ils ont envoyé un e-mail à un responsable de groupe de réflexion demandant des opinions sur les événements récents dans la péninsule coréenne. L'e-mail contenait un code QR qui prétendait ouvrir un questionnaire.
Plus tard en mai, le groupe s'est fait passer pour un employé d'ambassade. Cet e-mail est allé à un chercheur principal d'un groupe de réflexion. Il demandait des commentaires sur les droits de l'homme nord-coréens. Le code QR prétendait déverrouiller un lecteur sécurisé. Le même mois, un autre e-mail prétendait provenir d'un employé de groupe de réflexion. Scanner son code QR envoyait la victime vers l'infrastructure Kimsuky APT conçue pour une activité malveillante.
En juin 2025, le FBI indique que le groupe a ciblé un cabinet de conseil stratégique. L'e-mail invitait le personnel à une conférence qui n'existait pas. Un code QR envoyait les utilisateurs vers une page d'inscription. Un bouton d'inscription poussait ensuite les visiteurs vers une fausse page de connexion Google. Cette page collectait les noms d'utilisateur et les mots de passe. Le FBI a lié cette étape à l'activité de collecte d'identifiants suivie sous le nom T1056.003.
Les scans de codes QR mènent au vol de jetons et à la prise de contrôle de comptes
Le FBI indique que beaucoup de ces attaques se terminent par un vol et une réutilisation de jetons de session. Cela permet aux attaquants de contourner l'authentification à deux facteurs (2FA) sans déclencher d'alertes. Les comptes sont pris en charge discrètement. Après cela, les attaquants modifient les paramètres, ajoutent des accès et gardent le contrôle. Le FBI indique que les boîtes mail compromises sont ensuite utilisées pour envoyer plus d'e-mails d'hameçonnage ciblé au sein de la même organisation.
Le FBI note que ces attaques commencent sur des téléphones personnels. Cela les place en dehors des outils normaux de détection de points d'extrémité et de surveillance des risques en temps réel. Pour cette raison, le FBI a déclaré :-
Le FBI exhorte les organisations à réduire les risques. L'agence indique que le personnel doit être averti du scan de codes QR aléatoires provenant d'e-mails, de lettres ou de dépliants. La formation devrait couvrir la fausse urgence et l'usurpation d'identité. Les travailleurs doivent vérifier les demandes de codes QR par contact direct avant de se connecter ou de télécharger des fichiers. Des règles de signalement claires doivent être mises en place.
Le FBI recommande également d'utiliser :- « une authentification à deux facteurs (2FA) résistante à l'hameçonnage pour tous les accès distants et systèmes sensibles », et « d'examiner les privilèges d'accès selon le principe du moindre privilège et d'auditer régulièrement les permissions de compte inutilisées ou excessives ».
Les esprits crypto les plus intelligents lisent déjà notre newsletter. Vous voulez vous joindre à eux ? Rejoignez-les.
Source : https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
