Le FBI alerte : les pirates nord-coréens ciblent les groupes politiques américains via des codes QR piégés
Les acteurs de la menace Lazarus ne se contentent plus des échanges cryptos. Leur nouvelle cible ? L'appareil politique américain.
Infiltration par QR code
Le Federal Bureau of Investigation a émis un avertissement urgent : des groupes affiliés à la Corée du Nord déploient des campagnes de phishing sophistiquées. Leur vecteur ? Des codes QR malveillants, diffusés pour infiltrer des organisations et think tanks politiques aux États-Unis. La méthode contourne les filtres email traditionnels et exploite la confiance dans un outil du quotidien.
Une escalade géopolitique
Cette opération marque un changement d'objectif stratégique. Après des années à siphonner des centaines de millions via des hacks de crypto-monnaies pour financer le régime, Lazarus diversifie ses cibles. Pirater un échange, c'est une chose. Pénétrer les cercles d'influence politique, c'en est une autre – bien plus dangereuse pour la sécurité nationale.
Le financement reste le moteur
Ne vous y trompez pas. Derrière cette manoeuvre se cache le même objectif : générer des fonds illicites. Les gains du piratage cryptographique ont longtemps alimenté les programmes balistiques et nucléaires de Pyongyang. Cette nouvelle tactique pourrait servir à exfiltrer des informations sensibles, du chantage, ou à établir des points d'appui pour des opérations futures.
Un rappel brutal pour la sécurité
L'avertissement du FBI sonne comme un coup de semonce pour tout le secteur. Que vous gériez un portefeuille crypto ou une campagne électorale, la surface d'attaque s'élargit. La sécurité hygiénique – vérification des liens, authentification à deux facteurs, scepticisme face aux QR codes non sollicités – n'est plus une option. C'est la ligne de front.
Ironie du sort : pendant que certains régulateurs s'écharpent sur la conformité KYC des exchanges, des États-nations paria mènent une guerre de l'ombre en utilisant des outils que vous scannez pour obtenir un menu de restaurant. Parfois, la plus grande menace ne vient pas du marché baissier, mais d'un simple carré de pixels.
Kimsuky APT envoie des courriels contenant des codes QR à des cibles politiques et de recherche
Le FBI indique que le groupe Kimsuky APT a utilisé plusieurs courriels thématiques en 2025. Chaque courriel correspondait au poste et aux centres d'intérêt de la cible. En mai, les attaquants se sont fait passer pour un conseiller étranger. Ils ont envoyé un courriel au responsable d'un groupe de réflexion pour recueillir son avis sur les événements récents dans la péninsule coréenne. Ce courriel contenait un code QR censé ouvrir un questionnaire.
Plus tard en mai, le groupe s'est fait passer pour un employé d'ambassade. Ce courriel, adressé à un chercheur principal d'un groupe de réflexion, sollicitait son avis sur la situation des droits de l'homme en Corée du Nord. Le code QR était censé déverrouiller un lecteur sécurisé. Le même mois, un autre courriel prétendait provenir d'un employé du même groupe de réflexion. En scannant son code QR, la victime était redirigée vers l'infrastructure du groupe APT Kimsuky, conçue pour des activités malveillantes.
En juin 2025, le FBI a déclaré que le groupe avait ciblé un cabinet de conseil en stratégie. Le courriel invitait les employés à une conférence fictive. Un code QR redirigeait les utilisateurs vers une page d'inscription. Un bouton « S'inscrire » les redirigeait ensuite vers une fausse page de connexion Google. Cette page collectait les identifiants et mots de passe. Le FBI adentun lien entre cette étape et une activité de vol d'identifiants tracsous le code T1056.003.
Les scans de QR codes entraînent le vol de jetons et la prise de contrôle des comptes
« Les opérations de quishing se terminent fréquemment par le vol et la relecture de jetons de session [T1550.004], permettant aux attaquants de contourner l'authentification multifactorielle [T1550.004] et de détourner les identités cloud dent déclencher les alertes typiques « échec de l'authentification multifactorielle » », a déclaré le FBI.
Le FBI indique que nombre de ces attaques aboutissent au vol et à la réutilisation des jetons de session. Cela permet aux attaquants de contourner l'authentification multifacteurs sans déclencher d'alerte. Les comptes sont ainsi pris en main discrètement. Les attaquants modifient ensuite les paramètres, ajoutent des droits d'accès et conservent le contrôle. Le FBI précise que les boîtes mail compromises sont alors utilisées pour envoyer d'autres courriels d'hameçonnage ciblés au sein de la même organisation.
Le FBI note que ces attaques débutent sur des téléphones personnels. Elles échappent donc aux outils de détection de terminaux et de surveillance réseau classiques. C'est pourquoi le FBI a déclaré :
« Le quishing est désormais considéré comme un vecteur d'intrusion d'identité à haute fiabilité et résistant àdentmultifacteur dans les environnements d'entreprise. »
Le FBI exhorte les organisations à réduire les risques. L'agence recommande de sensibiliser le personnel aux dangers de scanner des codes QR aléatoires figurant dans des courriels, des lettres ou des prospectus. La formation devrait aborder la question des fausses alertes et de l'usurpation d'identité. Les employés doivent vérifier les demandes de codes QR par contact direct avant de se connecter ou de télécharger des fichiers. Des règles de signalement claires doivent être mises en place.
Le FBI recommande également d'utiliser : « une authentification multifacteur résistante au phishing pour tous les accès à distance et les systèmes sensibles », et « de revoir les privilèges d'accès selon le principe du moindre privilège et de procéder à des audits réguliers pour détecter les autorisations de compte inutilisées ou excessives »
Réclamez votre place gratuite dans une communauté exclusive de trading de crypto-monnaies - limitée à 1 000 membres.
