Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias FBI alerta sobre quishing norcoreano con códigos QR

FBI alerta sobre quishing norcoreano con códigos QR

por Dragora

El Buró Federal de Investigaciones de Estados Unidos (FBI) ha emitido una advertencia crítica sobre una nueva oleada de ataques de spear-phishing basados en códigos QR, atribuidos a actores de amenazas patrocinados por el Estado norcoreano. Estas campañas, activas desde 2025, están dirigidas principalmente contra think tanks, instituciones académicas, organizaciones de investigación y entidades estratégicas, tanto en EE. UU. como en otros países.

Según la alerta rápida publicada por el FBI, el grupo Kimsuky, también conocido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima, ha integrado de forma sistemática códigos QR maliciosos en correos electrónicos altamente dirigidos, una técnica conocida como quishing (QR phishing).

“Desde 2025, los actores de Kimsuky han atacado think tanks, instituciones académicas y entidades estadounidenses y extranjeras utilizando códigos QR maliciosos incrustados en campañas de spear-phishing”, advirtió el FBI.

¿Qué es el quishing y por qué es tan peligroso?

El quishing representa una evolución significativa del phishing tradicional. En lugar de engañar a la víctima para que haga clic en un enlace desde su equipo corporativo, el atacante la induce a escanear un código QR, normalmente con su teléfono móvil personal.

Esta táctica es especialmente efectiva porque:

  • Obliga a la víctima a pasar de un entorno corporativo protegido a un dispositivo móvil no gestionado

  • Elude controles como EDR, firewalls, proxies y filtros de correo

  • Reduce la visibilidad de los equipos de seguridad

  • Aumenta la tasa de éxito del robo de credenciales y tokens

En muchos entornos empresariales, los dispositivos móviles personales no están sujetos a las mismas políticas de seguridad, lo que convierte al quishing en un vector de intrusión de alta eficacia.

Kimsuky: un actor persistente del ciberespionaje norcoreano

Kimsuky es un grupo de amenazas con una larga trayectoria en operaciones de ciberespionaje, evaluado como afiliado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, el principal organismo de inteligencia del régimen.

Históricamente, el grupo se ha especializado en:

  • Spear-phishing altamente personalizado

  • Compromiso de cuentas de correo electrónico

  • Robo de credenciales y tokens de sesión

  • Espionaje político, militar y académico

En mayo de 2024, el gobierno de EE. UU. ya había señalado a Kimsuky por explotar configuraciones DMARC mal implementadas, permitiéndoles enviar correos electrónicos que aparentaban provenir de dominios legítimos, incrementando drásticamente su credibilidad.

Casos documentados por el FBI en 2025

El FBI confirmó múltiples incidentes observados en mayo y junio de 2025, en los que Kimsuky utilizó códigos QR maliciosos dentro de correos electrónicos dirigidos. Entre los escenarios detectados se incluyen:

  • Suplantación de un asesor extranjero, solicitando la opinión de un líder de think tank sobre la situación en la península coreana, invitándolo a escanear un QR para acceder a un supuesto cuestionario

  • Imitación de un empleado de una embajada, pidiendo comentarios a un investigador senior sobre derechos humanos en Corea del Norte, acompañado de un QR que prometía acceso a una “unidad segura”

  • Suplantación de personal interno de think tanks, enviando correos con códigos QR que redirigen a infraestructura controlada por los atacantes

  • Invitaciones falsas a conferencias, enviadas a empresas de asesoría estratégica, donde el QR redirige a una página de registro diseñada para robar credenciales de Google mediante una página de inicio de sesión falsa

Estas campañas demuestran un alto nivel de ingeniería social, aprovechando relaciones profesionales, intereses geopolíticos y contextos creíbles.

Distribución de malware Android mediante códigos QR

La advertencia del FBI llega poco después de que la empresa de ciberseguridad ENKI revelara una campaña relacionada, en la que Kimsuky utilizó códigos QR maliciosos para distribuir una nueva variante de malware Android, denominada DocSwap.

En este caso, los correos de phishing imitaban a una empresa de logística con sede en Seúl, engañando a las víctimas para que escanearan el QR y descargaran la aplicación maliciosa en sus dispositivos móviles.

Robo de tokens y evasión de MFA

Uno de los aspectos más preocupantes de estas campañas es su capacidad para eludir la autenticación multifactor (MFA). Según el FBI:

“Las operaciones de compromiso frecuentemente terminan con el robo y la repetición de tokens de sesión, permitiendo a los atacantes eludir la MFA y secuestrar identidades en la nube sin activar alertas típicas de ‘MFA fallido’.”

Una vez comprometida una cuenta, los atacantes:

  • Establecen persistencia dentro de la organización

  • Acceden a servicios en la nube

  • Lanzan phishing secundario desde buzones legítimos, aumentando la tasa de éxito

Un vector resistente a las defensas tradicionales

El FBI subrayó que el quishing se ha convertido en un vector de intrusión de identidad altamente confiable y resistente a MFA, precisamente porque:

  • Se origina en dispositivos móviles no gestionados

  • Ocurre fuera del perímetro tradicional de detección

  • Evita controles de red y endpoint

Esto convierte a los códigos QR maliciosos en una de las amenazas emergentes más relevantes para entornos empresariales y gubernamentales.

Recomendaciones de seguridad

Para mitigar este tipo de ataques, las organizaciones deben:

  • Capacitar a los usuarios para desconfiar de códigos QR en correos electrónicos

  • Implementar MFA resistente al phishing (FIDO2, passkeys)

  • Supervisar el uso de tokens de sesión y accesos anómalos

  • Restringir el acceso a recursos sensibles desde dispositivos no gestionados

  • Aplicar controles de seguridad móvil (MDM/MAM) cuando sea posible

En fin…

Las campañas de quishing atribuidas a Kimsuky confirman que los actores estatales norcoreanos continúan adaptándose para eludir defensas modernas y comprometer identidades críticas. El uso de códigos QR, combinado con ingeniería social avanzada y robo de tokens, posiciona esta técnica como una amenaza prioritaria para think tanks, académicos y organizaciones estratégicas.

En un escenario donde la identidad es el nuevo perímetro, ignorar el riesgo del quishing ya no es una opción.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!