FBI mengatakan Kimsuky APT, kelompok peretas yang didukung negara Korea Utara, menggunakan kode QR berbahaya untuk menyusup ke organisasi-organisasi AS yang terkait dengan kebijakan Korea Utara.
Peringatan tersebut disampaikan dalam FBI FLASH 2025 yang dibagikan kepada LSM, lembaga pemikir, universitas, dan kelompok yang terhubung dengan pemerintah. Badan tersebut mengatakan semua target memiliki satu kesamaan. Mereka mempelajari, memberikan nasihat, atau bekerja seputar Korea Utara.
Menurut FBI, Kimsuky APT menjalankan kampanye spearphishing yang mengandalkan kode QR alih-alih tautan, sebuah metode yang dikenal sebagai Quishing.
Kode QR tersebut menyembunyikan URL berbahaya, dan korban hampir selalu memindainya dengan ponsel, bukan komputer kerja. Pergeseran tersebut memungkinkan penyerang melewati filter email, pemindai tautan, dan alat sandbox yang biasanya menangkap phishing.
Kimsuky APT mengirim email berbasis QR ke target kebijakan dan penelitian
FBI mengatakan Kimsuky APT menggunakan beberapa email bertema pada tahun 2025. Masing-masing sesuai dengan pekerjaan dan minat target. Pada bulan Mei, penyerang menyamar sebagai penasihat asing. Mereka mengirim email kepada pemimpin lembaga pemikir menanyakan pandangan tentang peristiwa terkini di Semenanjung Korea. Email tersebut menyertakan kode QR yang diklaim membuka kuesioner.
Pada akhir Mei, kelompok tersebut menyamar sebagai pekerja kedutaan. Email tersebut dikirim ke peneliti senior di sebuah lembaga pemikir. Email tersebut meminta masukan tentang hak asasi manusia Korea Utara. Kode QR tersebut diklaim membuka drive aman. Pada bulan yang sama, email lain berpura-pura berasal dari karyawan lembaga pemikir. Memindai kode QR-nya mengarahkan korban ke infrastruktur Kimsuky APT yang dibangun untuk aktivitas berbahaya.
Pada Juni 2025, FBI mengatakan kelompok tersebut menargetkan perusahaan penasihat strategis. Email tersebut mengundang staf ke konferensi yang tidak ada. Kode QR mengarahkan pengguna ke halaman pendaftaran. Tombol pendaftaran kemudian mendorong pengunjung ke halaman login Google palsu. Halaman tersebut mengumpulkan nama pengguna dan kata sandi. FBI mengaitkan langkah ini dengan aktivitas pengumpulan kredensial yang dilacak sebagai T1056.003.
Pemindaian QR mengarah pada pencurian token dan pengambilalihan akun
FBI mengatakan banyak serangan ini berakhir dengan pencurian dan pemutaran ulang token sesi. Ini memungkinkan penyerang melewati autentikasi multi-faktor tanpa memicu peringatan. Akun diambil alih secara diam-diam. Setelah itu, penyerang mengubah pengaturan, menambahkan akses, dan mempertahankan kontrol. FBI mengatakan kotak surat yang dikompromikan kemudian digunakan untuk mengirim lebih banyak email spearphishing di dalam organisasi yang sama.
FBI mencatat bahwa serangan ini dimulai pada ponsel pribadi. Itu menempatkan mereka di luar alat deteksi endpoint normal dan pemantauan jaringan. Karena itu, FBI mengatakan:-
FBI mendesak organisasi untuk mengurangi risiko. Badan tersebut mengatakan staf harus diperingatkan tentang memindai kode QR acak dari email, surat, atau selebaran. Pelatihan harus mencakup urgensi palsu dan penyamaran. Pekerja harus memverifikasi permintaan kode QR melalui kontak langsung sebelum masuk atau mengunduh file. Aturan pelaporan yang jelas harus diberlakukan.
FBI juga merekomendasikan penggunaan:- "MFA tahan phishing untuk semua akses jarak jauh dan sistem sensitif," dan "meninjau hak akses sesuai dengan prinsip hak istimewa paling sedikit dan secara teratur mengaudit izin akun yang tidak digunakan atau berlebihan."
Pikiran kripto paling cerdas sudah membaca newsletter kami. Ingin bergabung? Gabung dengan mereka.
Sumber: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
