El grupo de ciberamenazas patrocinado por el Estado norcoreano Kimsuky está atacando a entidades estadounidenses mediante un esquema de códigos QR que puede comprometer información confidencial, según informó el FBI en una alerta del 8 de enero.
"Desde 2025, los actores de Kimsuky han atacado a think tanks, instituciones académicas y entidades gubernamentales estadounidenses y extranjeras con códigos QR maliciosos incrustados en campañas de spearphishing", dijo el FBI. "Este tipo de ataque de spearphishing se conoce como quishing".
"El quishing (phishing con códigos QR) es una técnica de phishing en la que los adversarios incrustan URL maliciosas dentro de códigos QR para obligar a las víctimas a pasar de su terminal corporativo a un dispositivo móvil, eludiendo los controles de seguridad tradicionales del correo electrónico".
En las campañas de quishing, los actores maliciosos envían a sus objetivos imágenes QR como archivos adjuntos de correo electrónico o gráficos incrustados, que suelen eludir los mecanismos de inspección de URL.
Cuando los objetivos escanean el código QR, son redirigidos a través de redireccionadores a páginas web que recopilan sus credenciales. Dichas páginas web se hacen pasar por portales de Microsoft 365, Okta o VPN.
Estas operaciones suelen terminar con los hackers eludiendo la autenticación multifactorial (MFA) y secuestrando identidades en la nube sin activar las alertas habituales de "MFA fallida". A continuación, pueden establecer su persistencia en las redes de las organizaciones y utilizar los buzones de correo comprometidos para llevar a cabo nuevas operaciones de piratería, advirtió la agencia.
El FBI recomendó que las organizaciones adopten una estrategia de seguridad multicapa para hacer frente a los riesgos únicos que plantean los esquemas de piratería de códigos QR.
"Eduque a los empleados sobre los riesgos asociados con el escaneo de códigos QR no solicitados, independientemente de su origen (correo electrónico, carta, folleto, embalaje)", dijo. "Implemente programas de capacitación para ayudar a los usuarios a reconocer las tácticas de ingeniería social que involucran códigos QR, incluidas las llamadas urgentes a la acción y la suplantación de entidades de confianza".
"Aconseje al personal que verifique las fuentes de los códigos QR a través de medios secundarios (como ponerse en contacto directamente con el remitente), especialmente antes de introducir credenciales de inicio de sesión o descargar archivos", aconsejó el FBI. "Implemente soluciones de gestión de dispositivos móviles (MDM) o de seguridad de terminales capaces de analizar las URL vinculadas a los códigos QR antes de permitir el acceso a los recursos web".
Según un aviso de 2020 de la Agencia de Seguridad Cibernética y de Infraestructuras, es muy probable que Kimsuky lleve operando desde 2012, encargado por el régimen norcoreano de misiones de recopilación de información a nivel mundial.
El grupo de amenazas tiene como objetivo a personas y organizaciones de Corea del Sur, Estados Unidos y Japón. Se centra en recopilar información sobre cuestiones de seguridad nacional y política exterior relacionadas con la península coreana, las sanciones y la política nuclear, según la agencia.
En una declaración del 9 de enero, la Asociación Americana de Hospitales destacó la alerta flash del FBI sobre Kimsuky.
"Aunque parece que los actores de la amenaza Kimsuky no se dirigen directamente a la atención sanitaria, esto sirve como recordatorio de que los ataques de ingeniería social, correo electrónico y 'quishing' basados en texto de otros grupos de hackers se dirigen cada vez más a la atención sanitaria debido a su eficacia y capacidad para eludir las medidas defensivas comunes de ciberseguridad", dijo John Riggi, asesor nacional de la asociación para la ciberseguridad y el riesgo.
"Dado que observamos un aumento en el uso de ataques maliciosos con códigos QR, se debe educar al personal sobre los peligros de escanear códigos QR no solicitados en el trabajo, en casa y en sus dispositivos móviles".
Además de respaldar a los grupos de amenazas para robar datos confidenciales, Corea del Norte utiliza sus capacidades cibernéticas para generar ingresos para actividades como el desarrollo de misiles balísticos y armas de destrucción masiva, según un informe del Equipo de Vigilancia de Sanciones Multilaterales publicado el 22 de octubre.
El equipo tiene la tarea de supervisar las acciones que eluden las sanciones establecidas en las resoluciones del Consejo de Seguridad de las Naciones Unidas.
Además, según el informe, existe una conexión entre China y las actividades de Corea del Norte.
"Se descubrió que al menos quince bancos chinos habían sido utilizados por la RPDC para lavar fondos relacionados con trabajos de TI o robos de criptomonedas, y los actores de la RPDC dependían en gran medida de los operadores extrabursátiles de China para convertir las criptomonedas robadas en moneda fiduciaria", dice. RPDC se refiere al nombre oficial de Corea del Norte, la República Popular Democrática de Corea.
