Kimsuky黑客组织正在针对美国等多国的政府机构发起钓鱼攻击

“截至2025年，Kimsuky行动者已经在鱼叉式网络钓鱼活动中以嵌入恶意快速响应(QR)代码的智库、学术机构以及美国和外国政府实体为目标。这种类型的鱼叉式网络钓鱼攻击被称为“欺骗”读到了美国联邦调查局发布的警告。“猎取活动通常将QR图像作为电子邮件附件或嵌入图形发送，从而规避URL检查、重写和沙盒。扫描后，受害者将通过攻击者控制的重定向器进行路由，这些重定向器会收集设备和身份属性，如用户代理、操作系统、IP地址、区域设置和屏幕大小[T1598 / T1589]，以便有选择地呈现模拟Microsoft 365、Okta或VPN门户的移动优化凭据收集页面[T1056.003]。”
Quishing(二维码钓鱼)是一种社会工程攻击，使用恶意二维码诱骗受害者访问虚假网站或下载恶意软件。

攻击者将QR码嵌入电子邮件、消息、海报、发票或文档中。扫描时，该代码会将用户重定向到窃取凭据、发送恶意软件或提示付款的网络钓鱼页面。查询之所以有效，是因为二维码隐藏了目的地的网址，通常会绕过传统的电子邮件安全过滤器，让用户更有可能信任和扫描它们。

查询攻击通常会导致会话令牌被窃取和重放，使得攻击者能够绕过多因素身份验证，而不会触发典型的MFA故障警报。一旦获得访问权限，威胁参与者就可以在受害者组织中建立持久性，并从受损帐户发送更多鱼叉式网络钓鱼电子邮件。因为这些攻击通常始于不受管理的移动设备，所以它们会避开标准的EDR和网络安全控制。因此，查询现在被认为是一种高效的、具有MFA弹性的身份攻击载体。美国联邦调查局敦促组织采用建议的缓解措施来降低风险。

美国联邦调查局报道称，2025年5月和6月，朝鲜APT集团Kimsuky利用恶意二维码进行了鱼叉式网络钓鱼活动。攻击者冒充可信任的人物，如外国顾问、大使馆工作人员和智库员工，引诱受害者扫描二维码。这些代码导致了假问卷、假安全驱动器或攻击者控制的基础设施。在一个案例中，一个伪造的会议邀请将受害者重定向到一个旨在窃取凭据的欺诈性谷歌登录页面。

“2025年5月，伪装成外国顾问的Kimsuky演员发送了一封电子邮件，要求智库领导人就朝鲜半岛最近的发展发表见解。这封邮件提供了一个二维码，扫描后就可以进入调查问卷。继续报告。“2025年6月，Kimsuky actors向一家战略咨询公司发送了一封鱼叉式钓鱼电子邮件，邀请收件人参加一个不存在的会议。该电子邮件包含一个二维码，将用户引导至一个注册登录页面，并带有一个注册按钮。注册按钮将访问者带到一个虚假的谷歌账户登录页面，用户可以在那里输入登录凭证进行采集”

这些活动主要针对智库、高级分析师和战略咨询公司。

美国联邦调查局敦促组织用分层防御来对抗基于二维码的鱼叉式网络钓鱼。建议包括培训员工识别二维码社会工程，验证来源，并报告可疑扫描。组织应保护移动设备、监控QR链接活动、实施防网络钓鱼MFA、强密码、最低权限访问，并保持系统修补。

卡巴斯基的研究人员在2013年首次发现了Kimsuky网络间谍组织(又名群岛，黑女妖，铊，天鹅绒千里马，APT43)。该组织在侦察总局(RGB)外国情报局的控制下工作。2020年10月底，US-CERT发布了一份关于Kimusky最近活动的报告，其中提供了关于其TTP和基础设施的信息。

APT组织主要针对韩国的智库和组织，其他受害者来自美国、欧洲和俄罗斯。






2025年4月，在调查一个安全漏洞时，AhnLab安全情报中心(ASEC)的研究人员发现了一个与朝鲜有关的团体Kimsuky 's campaign，追踪编号为幼虫-24005。攻击者利用RDP漏洞获得对目标系统的初始访问权限。