Cục Điều tra Liên bang Hoa Kỳ (FBI) hôm thứ Năm đã ban hành một cảnh báo về các tác nhân đe dọa do nhà nước Triều Tiên bảo trợ đang sử dụng mã QR độc hại trong các chiến dịch spear-phishing nhắm vào các tổ chức trong nước.
"Tính đến năm 2025, các tác nhân Kimsuky đã nhắm mục tiêu vào các tổ chức nghiên cứu (think tanks), học viện, và cả các thực thể chính phủ Hoa Kỳ và nước ngoài bằng mã QR (Quick Response) độc hại được nhúng trong các chiến dịch spear-phishing," FBI cho biết trong một cảnh báo nhanh. "Kiểu tấn công spear-phishing này được gọi là quishing."
Việc sử dụng mã QR cho mục đích lừa đảo (phishing) là một chiến thuật buộc nạn nhân phải chuyển từ một máy tính được bảo mật bởi các chính sách của doanh nghiệp sang một thiết bị di động có thể không cung cấp cùng mức độ bảo vệ, từ đó cho phép các tác nhân đe dọa bỏ qua các biện pháp phòng thủ truyền thống.
Kimsuky, còn được biết đến với các tên gọi như APT43, Black Banshee, Emerald Sleet, Springtail, TA427, và Velvet Chollima, là một nhóm đe dọa được đánh giá là có liên hệ với Cục Tổng Tham mưu Tình báo (Reconnaissance General Bureau - RGB) của Triều Tiên. Nhóm này có lịch sử lâu đời trong việc tổ chức các chiến dịch spear-phishing được thiết kế đặc biệt để phá vỡ các giao thức xác thực email.
Trong một bản tin được phát hành vào tháng 5 năm 2024, chính phủ Hoa Kỳ đã chỉ ra rằng nhóm tin tặc này đã khai thác các chính sách bản ghi Domain-based Message Authentication, Reporting, and Conformance (DMARC) được cấu hình không đúng cách để gửi email trông giống như chúng đến từ một miền hợp pháp.
FBI cho biết họ đã quan sát thấy các tác nhân Kimsuky sử dụng mã QR độc hại trong các nỗ lực lừa đảo có chủ đích nhiều lần vào tháng 5 và tháng 6 năm 2025 -
- Mạo danh một cố vấn nước ngoài trong các email yêu cầu thông tin từ một nhà lãnh đạo tổ chức nghiên cứu về những diễn biến gần đây trên Bán đảo Triều Tiên bằng cách quét mã QR để truy cập một bảng câu hỏi.
- Mạo danh một nhân viên đại sứ quán trong các email yêu cầu ý kiến từ một nhà nghiên cứu cấp cao tại một tổ chức nghiên cứu về các vấn đề nhân quyền của Triều Tiên, cùng với một mã QR được cho là cung cấp quyền truy cập vào một ổ đĩa bảo mật.
- Mạo danh một nhân viên tổ chức nghiên cứu trong các email với mã QR được thiết kế để đưa nạn nhân đến cơ sở hạ tầng do chúng kiểm soát cho các hoạt động tiếp theo.
- Gửi email cho một công ty tư vấn chiến lược, mời họ tham dự một hội nghị không tồn tại bằng cách thúc giục người nhận quét mã QR để chuyển hướng họ đến trang đích đăng ký được thiết kế để thu thập thông tin đăng nhập tài khoản Google của họ bằng cách sử dụng một trang đăng nhập giả mạo.
Thông tin tiết lộ này được đưa ra chưa đầy một tháng sau khi ENKI tiết lộ chi tiết về một chiến dịch mã QR do Kimsuky thực hiện để phân phối một biến thể mới của phần mềm độc hại Android có tên DocSwap trong các email phishing mạo danh một công ty logistics có trụ sở tại Seoul.
"Các hoạt động Quishing thường kết thúc bằng việc đánh cắp và phát lại session token, cho phép kẻ tấn công bỏ qua multi-factor authentication và chiếm đoạt danh tính đám mây mà không kích hoạt các cảnh báo 'MFA failed' thông thường," FBI cho biết. "Kẻ thù sau đó thiết lập sự tồn tại dai dẳng trong tổ chức và phát tán các cuộc spear-phishing thứ cấp từ hộp thư bị xâm nhập."
"Vì đường dẫn xâm nhập bắt nguồn từ các thiết bị di động không được quản lý nằm ngoài ranh giới Endpoint Detection and Response (EDR) và kiểm tra mạng thông thường, Quishing hiện được coi là một vector xâm nhập danh tính có độ tin cậy cao, kháng MFA trong môi trường doanh nghiệp."
