Devis de remise multi-licences
Données concernant les menaces Hameçonnage Attaque par codes QR de phishing Kimsuki

Attaque par codes QR de phishing Kimsuki

Par Mezo en Hameçonnage, Menace persistante avancée (APT)
Se traduisent par :

Le FBI a émis un avertissement public signalant que des acteurs malveillants, soutenus par l'État nord-coréen, utilisent activement des codes QR malveillants dans des campagnes de spear-phishing très ciblées contre des organisations aux États-Unis. Ces opérations, observées tout au long de l'année 2025, témoignent d'une tendance croissante vers le « quishing », une technique d'hameçonnage qui utilise les codes QR pour diffuser des contenus malveillants.

Qui est derrière ces campagnes ?

Cette activité est attribuée au groupe de menaces Kimsuky, également connu dans le milieu de la sécurité sous les noms d'APT43, Black Banshee, Emerald Sleet, Springtail, TA427 et Velvet Chollima. Ce groupe serait lié au Bureau général de reconnaissance (RGB) de la Corée du Nord.

Kimsuky est connu de longue date pour ses opérations de spear-phishing sophistiquées, notamment celles visant à contourner ou à saper les contrôles d'authentification des courriels. En mai 2024, le gouvernement américain a publiquement révélé que le groupe avait exploité des failles ou des configurations incorrectes des politiques DMARC pour envoyer des courriels imitant de manière convaincante des domaines légitimes.

Pourquoi les codes QR rendent ces attaques si dangereuses

Contrairement aux techniques d'hameçonnage traditionnelles, les leurres basés sur les codes QR détournent les victimes des systèmes gérés par l'entreprise et les dirigent vers des appareils personnels ou mobiles peu protégés. Ce changement permet aux attaquants de contourner les outils de sécurité de la messagerie d'entreprise, les plateformes de protection des terminaux et les contrôles de surveillance du réseau.

Une fois scannés, les codes QR malveillants redirigent les cibles vers une infrastructure contrôlée par l'attaquant, où des identifiants, des cookies de session ou des données sensibles peuvent être collectés sans déclencher les alertes standard de l'entreprise.

Scénarios d’attaques observés par le FBI en 2025

Le FBI a signalé plusieurs campagnes ciblées menées par des acteurs de Kimsuky en mai et juin 2025, notamment :

  • Se faisant passer pour un conseiller en politique étrangère, il a demandé à un responsable d'un groupe de réflexion de scanner un code QR pour accéder à un questionnaire sur l'évolution de la situation dans la péninsule coréenne.
  • Se faisant passer pour un employé d'ambassade cherchant à obtenir l'avis d'un expert sur les droits de l'homme en Corée du Nord, avec un code QR censé renvoyer vers un « lecteur sécurisé »
  • Se faisant passer pour un membre du personnel d'un groupe de réflexion, l'attaquant envoyait des codes QR qui redirigeaient les victimes vers une infrastructure contrôlée par lui pour une exploitation ultérieure.
  • Ciblage d'une société de conseil en stratégie par le biais de fausses invitations à une conférence, utilisant des codes QR qui menaient à des pages d'inscription frauduleuses conçues pour voler les identifiants de compte Google via des portails de connexion contrefaits.

Ces incidents ont suivi de près une autre révélation faite par des chercheurs en sécurité, qui ont découvert une campagne de QR code menée par Kimsuky distribuant une nouvelle variante de logiciel malveillant Android, « DocSwap », via des courriels d'hameçonnage imitant une entreprise de logistique basée à Séoul.

Comment Quishing permet des intrusions résistantes à l’authentification multifacteur

Les opérations modernes de quishing aboutissent fréquemment au vol et à la réutilisation des jetons de session. En capturant les jetons d'authentification actifs, les attaquants peuvent contourner totalement l'authentification multifacteur et prendre le contrôle des identités cloud sans déclencher les alertes habituelles d'échec de l'authentification multifacteur.

À partir de là, les attaquants s'implantent durablement dans l'environnement de la victime et exploitent souvent la boîte mail compromise pour lancer des campagnes de spear-phishing internes. Étant donné que la compromission initiale se produit sur des appareils mobiles non gérés, hors de la couverture EDR standard et des périmètres d'inspection réseau, le quishing est désormais considéré comme une technique d'intrusion d'identité très fiable et résistante à l'authentification multifacteur (MFA) en entreprise.

Tendance

Le plus regardé

Chargement...