Kimsuki Phishing-QR-Code-Angriff
Das US-amerikanische FBI hat eine öffentliche Warnung herausgegeben, dass nordkoreanische, staatlich geförderte Akteure aktiv schädliche QR-Codes in gezielten Spear-Phishing-Kampagnen gegen Organisationen in den Vereinigten Staaten einsetzen. Diese Operationen, die im Laufe des Jahres 2025 beobachtet wurden, stellen eine zunehmende Verlagerung hin zum sogenannten „Quishing“ dar – Phishing-Angriffen, die QR-Codes nutzen, um Schadsoftware zu verbreiten.
Inhaltsverzeichnis
Wer steckt hinter den Kampagnen?
Die Aktivitäten werden der Kimsuky-Bedrohungsgruppe zugeschrieben, die in Sicherheitskreisen auch unter den Namen APT43, Black Banshee, Emerald Sleet, Springtail, TA427 und Velvet Chollima bekannt ist. Diese Gruppe steht vermutlich in Verbindung mit dem nordkoreanischen Aufklärungsbüro (RGB).
Kimsuky ist seit Langem für ausgeklügelte Spear-Phishing-Angriffe bekannt, insbesondere solche, die darauf abzielen, E-Mail-Authentifizierungsmechanismen zu umgehen oder zu untergraben. Im Mai 2024 berichtete die US-Regierung öffentlich, dass die Gruppe schwache oder fehlerhaft konfigurierte DMARC-Richtlinien ausgenutzt hatte, um E-Mails zu versenden, die legitime Domains überzeugend imitierten.
Warum QR-Codes diese Angriffe so gefährlich machen
Anders als bei herkömmlichem Phishing lenken QR-Code-basierte Köder die Opfer von unternehmenseigenen Systemen auf private oder nur unzureichend geschützte Mobilgeräte. Dadurch können Angreifer die E-Mail-Sicherheitslösungen von Unternehmen, Endpoint-Protection-Plattformen und Netzwerküberwachungssysteme umgehen.
Nach dem Scannen leiten die bösartigen QR-Codes die Ziele auf eine vom Angreifer kontrollierte Infrastruktur weiter, wo Anmeldeinformationen, Session-Cookies oder sensible Daten abgegriffen werden können, ohne dass Standard-Unternehmenswarnungen ausgelöst werden.
Vom FBI beobachtete Angriffsszenarien im Jahr 2025
Das FBI berichtete über mehrere gezielte Kampagnen, die von Kimsuky-Akteuren im Mai und Juni 2025 durchgeführt wurden, darunter:
- Er gab sich als außenpolitischer Berater aus und bat einen Leiter einer Denkfabrik, einen QR-Code zu scannen, um auf einen Fragebogen zu den Entwicklungen auf der koreanischen Halbinsel zuzugreifen.
- Er gab sich als Botschaftsmitarbeiter aus, der Expertenrat zu Menschenrechtsfragen in Nordkorea einholen wollte, und verwendete einen QR-Code, der angeblich zu einem „sicheren Laufwerk“ führen sollte.
- Er gab sich als Mitarbeiter eines Thinktanks aus und verschickte QR-Codes, die die Opfer auf die vom Angreifer kontrollierte Infrastruktur weiterleiteten, um sie dort weiter auszunutzen.
- Ziel war es, ein strategisches Beratungsunternehmen mit gefälschten Konferenzeinladungen anzugreifen. Dabei wurden QR-Codes verwendet, die zu betrügerischen Registrierungsseiten führten, welche darauf abzielten, über gefälschte Anmeldeportale Google-Kontodaten zu stehlen.
Diese Vorfälle ereigneten sich kurz nach einer separaten Enthüllung durch Sicherheitsforscher, die eine von Kimsuky betriebene QR-Kampagne aufdeckten, bei der eine neue Android-Malware-Variante namens „DocSwap“ über Phishing-E-Mails verbreitet wurde, die ein in Seoul ansässiges Logistikunternehmen imitierten.
Wie Quishing MFA-resistente Eindringversuche ermöglicht
Moderne Quishing-Angriffe enden häufig im Diebstahl und der Wiederholung von Session-Tokens. Durch das Abfangen aktiver Authentifizierungstoken können Angreifer die Multi-Faktor-Authentifizierung vollständig umgehen und Cloud-Identitäten übernehmen, ohne die üblichen Warnungen bezüglich einer fehlgeschlagenen Multi-Faktor-Authentifizierung auszulösen.
Von dort aus verschaffen sich Angreifer dauerhaften Zugang zum System des Opfers und nutzen häufig das kompromittierte Postfach, um intern weitere Spear-Phishing-Kampagnen zu starten. Da die Erstkompromittierung auf nicht verwalteten Mobilgeräten außerhalb der üblichen EDR-Abdeckung und Netzwerküberwachungsbereiche erfolgt, gilt Quishing heute als eine hochwirksame und MFA-resistente Methode zum Identitätsdiebstahl in Unternehmensumgebungen.
