文章总结： FBI警告朝鲜黑客组织Kimsuky利用恶意二维码对美国智库及政府机构实施鱼叉式钓鱼。攻击者诱导受害者用移动设备扫描二维码绕过企业防御与多因素认证，窃取凭据并劫持云身份。该手段利用监控盲区建立持久化，且成功率极高，是当前企业环境面临的高危威胁。 综合评分： 85 文章分类： 威胁情报,安全意识,社会工程学,漏洞预警

【安全圈】FBI 警告：朝鲜黑客正将恶意 QR 码用于鱼叉式网络钓鱼

安全圈

2026年1月12日 19:01 江苏

关键词

恶意软件

FBI于周四发布安全通告，警告朝鲜国家支持的黑客正利用恶意QR码，针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。

FBI在紧急通告中指出：“截至2025年，Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码，针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’。”

利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略，这使得攻击者能够有效绕过传统防御。

背景与手法

Kimsuky（亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima）是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。

2024年5月，美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略，发送看似来自合法域名的电子邮件。

具体攻击案例

FBI称，其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码，具体包括：

1. 冒充外国顾问，向某智库负责人发送电子邮件，请求对方就朝鲜半岛近期动态提供见解，并要求扫描QR码以访问问卷。
2. 冒充大使馆员工，向某智库高级研究员发送电子邮件，请求就朝鲜人权问题提供意见，并附上声称可访问安全云盘的QR码。
3. 冒充智库员工，在电子邮件中附上QR码，意图将受害者引导至其控制的基础设施以进行后续攻击活动。
4. 向一家战略咨询公司发送电子邮件，邀请其参加一个虚构的会议，并敦促收件人扫描QR码，将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。

攻击影响与特点

就在此披露不到一个月前，ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。

FBI指出：“QR码钓鱼攻击通常以窃取和重放会话令牌告终，这使得攻击者能够绕过多因素认证，并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后，攻击者会在组织内建立持久存在，并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。”

“由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备，QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。”

END

阅读推荐

【安全圈】BreachForums论坛数据库32.4万个账户泄露

【安全圈】Meta澄清Instagram“密码重置风暴”非发生数据泄露

【安全圈】恶性 Chrome 扩展盗窃用户信息

【安全圈】2025年中国十大宕机事件

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】FBI 警告：朝鲜黑客正将恶意 QR 码用于鱼叉式网络钓鱼》