FBI alerta: Hackers norte-coreanos usam códigos QR para violar políticas de grupos dos EUA

QR codes se tornam a nova fronteira da guerra cibernética.

O FBI emitiu um alerta urgente: grupos de hackers ligados à Coreia do Norte estão usando códigos QR maliciosos para contornar políticas de segurança de empresas americanas. A técnica representa uma evolução preocupante na ciberespionagem estatal.

Da conveniência à vulnerabilidade

Os códigos QR, onipresentes em pagamentos e autenticações, agora servem como cavalos de Troia digitais. Os ataques exploram a confiança do usuário final e políticas corporativas muitas vezes desatualizadas.

O modus operandi

Os agentes de ameaças persistentes (APTs) norte-coreanos disfarçam códigos maliciosos em comunicações aparentemente legítimas. Um único scan pode desbloquear acesso inicial, instalar malware ou desviar dados sensíveis.

A sofisticação dos ataques sugere financiamento estatal robusto—um contraste irônico com as sanções financeiras globais que o regime supostamente tenta contornar. Enquanto isso, departamentos de compliance tradicionais lutam para acompanhar a inovação… criminosa.

O alerta do FBI serve como um lembrete brutal: na corrida armamentista cibernética, a ferramenta mais banal pode se tornar a arma mais perigosa. A segurança digital agora depende de desconfiar até do que você é instruído a escanear.

O grupo APT Kimsuky envia e-mails com códigos QR para alvos relacionados a políticas públicas e pesquisa

O FBI afirma que o grupo Kimsuky APT usou diversos e-mails temáticos em 2025. Cada um deles correspondia ao trabalho e aos interesses do alvo. Em maio, os atacantes se fizeram passar por um consultor estrangeiro. Eles enviaram um e-mail para um líder de um think tank pedindo sua opinião sobre os recentes acontecimentos na Península Coreana. O e-mail incluía um código QR que supostamente abria um questionário.

Mais tarde, em maio, o grupo se fez passar por um funcionário da embaixada. O e-mail foi enviado a um pesquisador sênior de um think tank e solicitava informações sobre os direitos humanos na Coreia do Norte. O código QR alegava desbloquear uma unidade segura. No mesmo mês, outro e-mail fingia ser de um funcionário de um think tank. Ao escanear o código QR, a vítima era direcionada para a infraestrutura APT Kimsuky, criada para atividades maliciosas.

Em junho de 2025, o FBI afirma que o grupo teve como alvo uma empresa de consultoria estratégica. O e-mail convidava os funcionários para uma conferência inexistente. Um código QR direcionava os usuários para uma página de inscrição. Um botão de inscrição, por sua vez, levava os visitantes a uma página falsa de login do Google. Essa página coletava nomes de usuário e senhas. O FBI associou essa etapa à atividade de coleta dedent traccomo T1056.003.

A leitura de códigos QR leva ao roubo de tokens e à apropriação indevida de contas

“As operações de quishing frequentemente terminam com o roubo e a reprodução do token de sessão [T1550.004], permitindo que os invasores contornem a autenticação multifator [T1550.004] e sequestrem identidades na nuvem dent acionar os alertas típicos de “MFA falhou”, disse o FBI.

O FBI afirma que muitos desses ataques terminam com o roubo e a reprodução do token de sessão. Isso permite que os invasores contornem a autenticação multifatorial sem acionar alertas. As contas são assumidas silenciosamente. Depois disso, os invasores alteram as configurações, adicionam acessos e mantêm o controle. O FBI afirma que as caixas de correio comprometidas são então usadas para enviar mais e-mails de spearphishing dentro da mesma organização.

O FBI observa que esses ataques começam em telefones pessoais. Isso os coloca fora do alcance das ferramentas normais de detecção de endpoints e monitoramento de rede. Por causa disso, o FBI afirmou:

"O 'quishing' agora é considerado um vetor de intrusão de identidade de alta confiança e resistente àdentmultifator em ambientes corporativos."

O FBI recomenda que as organizações reduzam os riscos. A agência afirma que os funcionários devem ser alertados sobre os perigos de escanear códigos QR aleatórios em e-mails, cartas ou panfletos. O treinamento deve abordar a simulação de urgência e a falsificação de identidade. Os funcionários devem verificar as solicitações de códigos QR por meio de contato direto antes de fazer login ou baixar arquivos. Devem existir regras claras para a denúncia de irregularidades.

O FBI também recomenda o uso de: “autenticação multifator (MFA) resistente a phishing para todos os acessos remotos e sistemas sensíveis” e “revisão dos privilégios de acesso de acordo com o princípio do menor privilégio e auditoria regular para identificar permissões de conta não utilizadas ou excessivas”

Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.